Cercetătorii găsesc un nou malware de la punctul de vânzare numit BlackPOS

O nouă bucată de malware care infectează site- (POS) a fost deja utilizată pentru a compromite mii de carduri de plată aparținând clienților băncilor americane, potrivit unor cercetători din grupul IB, o companie de securitate și informatică din Rusia.

Malware-ul POS nu este un tip nou dar este folosita din ce in ce mai mult de infractorii cibernetici, a declarat Andrey Komarov, seful proiectelor internationale de la Grupul IB, miercuri prin e-mail.

Komarov a declarat ca cercetatorii grupului IB au identificat cinci amenintari malware POS in ultimele sase luni. Cu toate acestea, cea mai recentă, care a fost găsită la începutul acestei luni, a fost investigată pe scară largă, ceea ce a dus la descoperirea unui server de comandă și control și identificarea unei bande cibernetice în spatele ei, a afirmat el.: Cum să eliminați programele malware de pe PC-ul dvs. Windows

Malware-ul este anunțat pe forumurile de subterane de pe Internet sub numele generic de "Dump Memory Grabber by Ree", dar cercetătorii echipei de răspuns la situații de urgență a grupului IB (CERT-GIB) au văzut un panou de administrare asociat cu malware-ul care folosea numele "BlackPOS".

O demonstrație video privată a panoului de control publicată pe un forum de înaltă calitate de către autorul malware sugerează că mii de carduri de plată emise de SUA băncile, inclusiv Chase, Capital One, Citibank, Union Bank of California și Nordstrom Bank, au fost deja compromise.

Grupul IB a identificat serverul de comandă și control live și a notificat băncile afectate, VISA și agențiile de aplicare a legii din S.U.A. cu privire la amenințare, a spus Komarov.

BlackPOS infectează computerele care rulează Windows care fac parte din sistemele POS și au cititoare de carduri atașate acestora. Aceste computere se găsesc, în general, în timpul scanărilor automate pe Internet și sunt infectate deoarece au vulnerabilități neprotejate în sistemul de operare sau utilizează acreditări slabe de administrare la distanță, a spus Komarov. În unele cazuri rare, malware-ul este, de asemenea, implementat cu ajutorul unor insideri, a afirmat el.

Odată instalat pe un sistem POS, malware-ul identifică procesul de rulare asociat cititorului de carduri de credit și fură datele cardului 1 și 2 din memoria sa. Aceasta este informația stocată pe banda magnetică a cardurilor de plată și poate fi ulterior folosită pentru a le clona.

Spre deosebire de un alt program malware POS numit vSkimmer care a fost descoperit recent, BlackPOS nu are o metodă de extragere a datelor offline, a spus Komarov. Informațiile capturate sunt încărcate pe un server la distanță prin FTP, a spus el.

Autorul malware-ului a uitat să ascundă o fereastră activă de browser unde a fost conectat la Vkontakte - un site de socializare popular în țările vorbitoare de limbă rusă - video demonstrativ privat. Acest lucru a permis cercetătorilor CERT-GIB să adune mai multe informații despre el și pe asociații săi, a spus Komarov.

Autorul BlackPOS folosește aliasul "Richard Wagner" online pe Vkontakte și este administratorul unui grup de rețele sociale al cărui membri sunt legați de filiala rusă a lui Anonim. Cercetătorii grupului IB au stabilit că membrii acestui grup au vârsta de până la 23 de ani și că vând servicii DDoS (denial of service distributed) cu prețuri începând de la 2 USD pe oră.

Companiile ar trebui să restricționeze accesul la sistemele POS un set limitat de adrese de IP (Internet Protocol) de încredere și ar trebui să se asigure că toate patch-urile de securitate sunt instalate pentru software-ul rulat pe ele, a spus Komarov. Toate acțiunile efectuate pe astfel de sisteme ar trebui monitorizate, a spus el.