По следу Cobalt: тактика логической атаки на банкоматы в расследовании Group-IB

Используется DNS туннелирование с периодом ожидания, инкапсулированный траффик шифруется — при отправки информации с зараженных машин в логах просто периодически возникают DNS запросы «длинных» случайных поддоменов.