Naukowcy odkrywają nowe złośliwe oprogramowanie dla punktów sprzedaży o nazwie BlackPOS

Nowy szkodliwy program infekujący punkt końcowy systemy sprzedaży (POS) zostały już wykorzystane do kompromitacji tysięcy kart płatniczych należących do klientów banków w USA, według naukowców z Group-IB, firmy zajmującej się bezpieczeństwem i komputerami kryminalistycznymi z siedzibą w Rosji.

Złośliwe oprogramowanie POS nie jest nowym typem zagrożenie, ale jest coraz częściej wykorzystywane przez cyberprzestępców - powiedział Andrey Komarov, szef międzynarodowych projektów w Group-IB, w środę za pośrednictwem poczty elektronicznej.

Komarov powiedział, że badacze Group-IB zidentyfikowali pięć różnych zagrożeń związanych z POS w ciągu ostatnich sześciu miesięcy. Jednak najnowszy, który został znaleziony na początku tego miesiąca, był szeroko badany, co doprowadziło do odkrycia serwera kontrolno-sterującego i identyfikacji cyberprzestępczego gangu za nim, powiedział.

[Dalsze czytanie: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Szkodliwe oprogramowanie jest ogłaszane na forach internetowych pod dość ogólną nazwą "Dump Memory Grabber by Ree", ale naukowcy z komputerowego zespołu reagowania kryzysowego grupy IB (CERT-GIB) zobaczyłem panel administracyjny związany ze złośliwym oprogramowaniem, które używało nazwy "BlackPOS".

Prywatna demonstracja wideo panelu kontrolnego opublikowana na głośnym forum cyberprzestępczym przez autora szkodliwego oprogramowania sugeruje, że tysiące kart płatniczych wydanych przez USA banki, w tym Chase, Capital One, Citibank, Union Bank of California i Nordstrom Bank, zostały już zagrożone.

Grupa-IB zidentyfikowała serwer kontroli na żywo i powiadomiła banki, których dotyczy ten problem, WIZA i amerykańskie organy ścigania o zagrożeniu, powiedział Komarow.

BlackPOS infekuje komputery z systemem Windows, które są częścią systemów POS i mają czytniki kart dołączone do nich. Te komputery są zwykle wykrywane podczas automatycznego skanowania w Internecie i są zainfekowane, ponieważ mają niezałatane luki w systemie operacyjnym lub używają słabych danych uwierzytelniających do administracji zdalnej, powiedział Komarov. W niektórych rzadkich przypadkach złośliwe oprogramowanie jest również wdrażane z pomocą specjalistów, powiedział.

Po zainstalowaniu w systemie POS, złośliwe oprogramowanie identyfikuje działający proces związany z czytnikiem kart kredytowych i kradnie dane karty płatniczej Dane Track 1 i Track 2 z jego pamięci. Jest to informacja zapisana na pasku magnetycznym kart płatniczych i może być później wykorzystana do ich klonowania.

W odróżnieniu od innego złośliwego oprogramowania POS o nazwie vSkimmer, które niedawno odkryto, BlackPOS nie ma metody ekstrakcji danych offline, powiedział Komarov. Przechwycone informacje są przesyłane do zdalnego serwera za pośrednictwem FTP, powiedział.

Autor szkodliwego oprogramowania zapomniał ukryć aktywne okno przeglądarki, w którym był zalogowany do Vkontakte - serwisu społecznościowego popularnego w krajach rosyjskojęzycznych - podczas nagrywania prywatny film demonstracyjny. To pozwoliło badaczom CERT-GIB zebrać więcej informacji o nim i jego współpracownikach, powiedział Komarov.

Autor BlackPOS używa internetowego pseudonimu "Richard Wagner" na Vkontakte i jest administratorem grupy społecznościowej, której członkowie są powiązani z rosyjski oddział Anonim. Badacze z grupy IB ustalili, że członkowie tej grupy mają mniej niż 23 lata i sprzedają usługi DDoS (rozproszone usługi odmowy usługi), a ceny zaczynają się od 2 USD za godzinę.

Firmy powinny ograniczyć zdalny dostęp do swoich systemów POS ograniczony zestaw zaufanych adresów IP (Internet Protocol) i powinien upewnić się, że wszystkie łatki bezpieczeństwa są zainstalowane dla oprogramowania na nich działającego, powiedział Komarov. Wszystkie działania wykonywane na takich systemach powinny być monitorowane, powiedział.