Зафиксирован новый вариант вредоносного программного обеспечения NewPostThings для терминалов, который использует DNS-протокол, чтобы передавать информацию, обходя межсетевой экран.
Вредоносная программа Multigrain является модифицированной версией NewPostThings. Отличительная черта Multigrain – присутствие цифровой подписи и применение DNS для передачи данных, что не свойственно другим версиям вредоносной программы NewPostThings. Однако метод DNS-эксфильтрации применялся в таких вредоносных программах, как BernhardPOS и FrameworkPOS.
Обычно вредоносные программы для POS-терминалов проводят сканирование процессов в памяти с целью поиска информации о платежных картах. После того, как программа Multigrain проникла в систему, она осуществляет проверку наличия процесса multi.exe, который относится к популярному ПО для терминалов. В том случае, если данный процесс не удается найти, установка Multigrain отменяется и происходит автоматическое удаление программы.
В случае успешного заражения терминала вредоносная программа генерирует файл «c:\windows\wme.exe», который осуществляет установку службы Windows Module Extension и производит отправку на сервер злоумышленников DNS-запроса, свидетельствующего об успешном окончании установки. Информация о пластиковых картах, извлеченная из памяти, в том числе номера карт и PIN-коды, шифруется с использованием 1024-битного RSA-ключа и пересылается в виде DNS-запроса на командный сервер.
По словам экспертов FireEye, системные администраторы в ходе обработки информации банковских карт, в основном, обращают внимание на процесс мониторинга, ограничение или блокировку HTTP или FTP-трафика. Блокировка протокола DNS не производится, поскольку он необходим для правильной работы системы.