UDPoS es un malware de puntos de venta que envía la información vía DNS disfrazado de actualización de la aplicación LogMeIn
Recientemente se ha descubierto una nueva variedad de malware que afecta principalmente a puntos de venta (PoS) y envía la información de las tarjetas robadas a través del protocolo DNS. El uso de este protoloco es algo a destacar, ya que lo más común en este tipo de malware es usar el protocolo HTTP. Este malware se hace pasar por una actualización de LogMeIn.
El malware se presenta con nombres como 'logmeinumon.exe, update.exe, LogMeInServicePack_5.115.22.001.exe' y se comunica con servidores de control alojados en Suiza. La primera vez que se ejecuta genera un archivo 'infobat.bat' que se usa para hacer una firma del sistema y poder identificar las máquinas infectadas. A continuación escanea la máquina infectada y la información recopilada se aloja en un fichero llamado 'PCi.jpg', que se envía al servidor C2 a través de DNS. Por último, crea persistencia en el sistema (se asegura de sobrevivir al reinicio de la máquina).
LEER MAS: http://unaaldia.hispasec.com/2018/02/udpos-el-malware-que-afecta-puntos-de.html