Investigadores encontraron un nuevo malware que roba datos de tarjetas de pago desde terminales de puntos de venta y los envía a los atacantes utilizando el Sistema de Nombres de Dominio (DNS). 

La amenaza llamada Multigrain es parte de una familia de programas maliciosos conocidos como NewPosThings, con los que comparte el mismo código. Sin embargo, esta variante fue diseñada para apuntar a entornos específicos.

Eso es porque a diferencia de otros programas de malware de punto de venta que buscan datos de tarjetas en la memoria con muchos procesos, Multigrain se dirige a un solo proceso llamado multi.exe que está asociado con una popular autorización de la tarjeta y servidor de punto de venta. Si este proceso no se está ejecutando en la máquina afectada, existe la rutina de infección y el malware se borra a sí mismo.

Multigrain fue diseñado tomando en cuenta el siglo. Está firmado digitalmente, se instala como un servicio llamado Windows Module Extension y lo más importante, envía los datos a los atacantes a través de DNS.

Primero roba los datos de tarjetas de pago cifrado con una clave RSA de 1024 bits y luego se hace pasar por un proceso de codificación Base32. Los datos codificados resultantes se utilizan en una consulta DNS para acceder. (Datos codificados) .evildomain.com, donde “evildomain” es un nombre de dominio controlado por los atacantes. Esta consulta aparecerá en el servidor DNS autorizado para el dominio, que también está controlado por los atacantes.