Firma McAfee ostrzega przed atakującymi złośliwe oprogramowanie systemami punktu sprzedaży

Nowy kawałek niestandardowego szkodliwego oprogramowania sprzedawanego na podziemnym rynku internetowym jest używany do przesyłu danych kart płatniczych z punktu systemy kasowe, według analityków bezpieczeństwa od producenta antywirusów McAfee.

Nazwane vSkimmer, trojanopodobne złośliwe oprogramowanie jest przeznaczone do infekowania komputerów z systemem Windows, do których dołączono czytniki kart płatniczych, McAfee ds. bezpieczeństwa Chintan Shah powiedział w zeszłym tygodniu na blogu.

Złośliwe oprogramowanie zostało po raz pierwszy wykryte przez sieć czujników McAfee 13 lutego i jest obecnie reklamowane na forach internetowych jako lepsze niż Dexter, inny program do wykrywania luk, który został odkryty w grudniu. ember.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Po zainstalowaniu na komputerze vSkimmer zbiera informacje o systemie operacyjnym, w tym jego wersję, unikalny identyfikator GUID, domyślny język, nazwę hosta i aktywną nazwę użytkownika. Informacje te są wysyłane z powrotem do serwera sterowania i kontroli w zakodowanym formacie jako część wszystkich żądań HTTP i są wykorzystywane przez napastników do śledzenia indywidualnie zainfekowanych maszyn. Szkodliwe oprogramowanie czeka na odpowiedź serwera komendą "dlx" (pobierz i uruchom) lub "aktualizuj" (update).

Przejmuje dane karty płatniczej

VSkimmer przeszukuje pamięć wszystkich procesów uruchomionych na zainfekowanym komputerze, z wyjątkiem tych, które zostały zakodowane na białej liście, dla informacji pasujących do określonego wzorca. Ten proces ma na celu odnalezienie i wyodrębnienie danych z karty Track 2 z pamięci procesu związanego z czytnikiem kart kredytowych.

Dane z Track 2 to informacje przechowywane na pasku magnetycznym karty płatniczej i mogą być użyte do sklonowania karty, chyba że karta płatnicza korzysta ze standardu EMV (chip i pin). To powiedziawszy, w ogłoszeniu opublikowanym na początku tego miesiąca na forum cyberprzestępców autor szkodliwego oprogramowania powiedział, że trwają prace nad dodaniem obsługi kart EMV i że "rok 2013 będzie gorącym rokiem."

Złośliwe oprogramowanie zapewnia także tryb offline mechanizm ekstrakcji danych. Kiedy połączenie internetowe nie jest dostępne, vSkimmer czeka na podłączenie urządzenia USB z nazwą woluminu KARTOXA007 do zainfekowanego komputera, a następnie kopiuje plik dziennika z przechwyconymi danymi, powiedział Shah.

To sugeruje, że vSkimmer był Przeznaczony również do obsługi operacji oszustw związanych z kartami płatniczymi, które korzystają z pomocy poufnych oraz zdalnych kradzieży.

VSkimmer to kolejny przykład tego, jak zmieniają się oszustwa finansowe i w jaki sposób bankowskie trojany przechodzą od kierowania komputerów poszczególnych użytkowników bankowości internetowej na kierowanie terminale kart płatniczych, powiedział Shah.