E安全2月17日讯，上周四，网络安全公司 Forcepoint研究人员罗伯特·纽曼与卢克·萨摩威尔在一篇博文中表示，某一名为 UDPoS的新型恶意软件家族试图将自身伪装为合法服务，从而避免在传输实效数据时被检测发现。这种罕见的恶意软件可将自身伪装为LogMein服务包以隐藏其异常流量，从而隐藏针对客户数据的盗窃活动。

　　UDPoS的新型恶意软件家族试图将自身伪装为合法服务--LogMein服务包，这一伪造“服务包“能够生成”非同寻常的DNS请求数量。网络安全公司 Forcepoint进一步调查后发现，该 LogMeIn系统实际上属于 PoS恶意软件。

　　PoS恶意软件隐藏在负责处理并可能存储信用卡信息的系统当中，例如餐厅、商店等使用的支付系统。一旦销售点系统(即PoS机)受到感染，则其可利用 DEXTER或 BlackPOS等恶意软件窃取信用卡磁条上包含的支付数据，而后通过命令与控制(简称C&C)服务器将这些信息发送给幕后操纵者。

　　2013年，美国零售商Target公司就曾遭遇 PoS恶意软件侵袭，并导致约1.1亿客户的信用卡信息被盗。ForcePoint方面将这项困难的调查工作称为“大海捞针”，此次新型 UDPoS恶意软件会利用以 LogMeIn为主题的文件名以及 C&C URL来隐藏其基于 DNS的传输流量。

　　该恶意软件的样本之一名为 logmeinumon.exe，其接入某台托管于瑞士的 C&C服务器，且包含一个负责将提取内容的提取器以及释放至临时目录的自解压文件。之后该样本还将创建一个 LogMeInUpdService目录，同时配合一项系统服务便可让监控组件发挥作用。研究人员们表示，“该监控组件与服务组件拥有几乎相同的结构。其由同样的Visual Studio版本进行编译，且采用相同的字符串编码技术:两个可执行文件只包含一些可识别的纯文本字符串，且采用基本加密与编码方法以隐藏字符串内容--例如C&C服务器、文件名以及硬编码进程名称。”该监控组件不仅持续追踪受感染的系统进程，同时还会检查反病毒保护与虚拟机。

　　一切收集到的数据--例如客户信用卡信息--都将被伪装成 LogMeIn的 DNS流量进行发送。

　　研究人员们指出，“几乎所有企业都设有防火墙及其它保护手段，用以监控并过滤基于 TCP以及 UDP的通信内容。然而，DNS仍然会被区别对待，这就给数据渗漏提供了良好的机会。”

　　Forcepoint公司强调称，使用 LogMeIn主题只是一种伪装恶意软件活动的方式。在调查结果披露之后，目前尚无证据表明已经发生产品或服务滥用事件。

　　目前尚不清楚此恶意软件是否被广泛利用。不过恶意软件的编辑时间戳记录为2017年10月25日，因此其很可能是一种相对较新的攻击产物。

　　然而，研究人员们表示有证据表明其属于“某早期英特尔主题的变种”，这表明UDPoS很可能只是原恶意软件的下一个发展阶段。其经过调整以重新指向不同的攻击目标与受害者群体。

　　“相关链接、文件或可执行文件并非来自LogMeIn，LogMeIn产品的各项更新--包括补丁与更新等--将始终以安全方式在产品内交付。我们绝对不会与您直接联系并要求您更新软件，亦不会向您提供包含指向新版本或更新的附件或链接的消息。”