Výzkumníci nalezli nový malware v prodejní zóně nazvaný BlackPOS

Nový malware, který infikuje point-of- prodejní (POS) systémy již byly použity k ohrožení tisíců platebních karet, které patří zákazníkům amerických bank, podle výzkumníků ze skupiny-IB, bezpečnostní a počítačové forenzní společnosti se sídlem v Rusku.

POS malware není nový typ "Komorov uvedl, že výzkumní pracovníci skupiny IB identifikovali v uplynulých šesti měsících pět různých hrozbách malware pro POS uživatele," uvedl Andy Komarov, šéf mezinárodních projektů ve skupině IB.. Nicméně nejnovější, která byla nalezena počátkem tohoto měsíce, byla rozsáhle prozkoumána, což vedlo k objevení serveru příkazového a řídícího systému a k identifikaci cyber-zločineckého gangu za ním, řekl.: Odstranění škodlivého softwaru z počítače se systémem Windows

Malware je inzerován na podzemních internetových fórech pod poměrně obecným názvem "Dump Memory Grabber by Ree", ale výzkumníci týmu CERT-GIB skupiny Group-IB) viděli administrátorský panel spojený s malwarem, který používal název "BlackPOS".

Soukromá ukázka videa z ovládacího panelu zveřejněná autorským serverem malware na vysoce kvalifikovaném fóru cybercriminals naznačuje, že tisíce platebních karet vydaných USA banky, včetně Chase, Capital One, Citibank, Union Bank of California a Nordstrom Bank, již byly ohroženy.

Skupina IB identifikovala živý server příkazů a kontrol a oznámila dotčeným bankám, VISA a americké orgány činné v trestním řízení o tomto ohrožení, uvedl Komarov.

BlackPOS infikuje počítače se systémem Windows, které jsou součástí POS systémů a mají čtečky karet připojené k nim. Tyto počítače se obecně nacházejí během automatizovaných internetových skenů a jsou infikovány, protože mají chybu zabezpečení v operačním systému nebo mají slabé vzdálené správy, říká Komarov. V malých případech je malware také nasazen s pomocí insiderů.

Jakmile je nainstalován v POS systému, malware identifikuje běžící proces spojený s čtečkou kreditních karet a ukradne data platební karty Track 1 a Track 2 z jeho paměti. Toto je informace uložená na magnetickém pásu platebních karet a může být později použita k jejich klonování.

Na rozdíl od jiného malware POS nazývaného vSkimmer, který byl nedávno objeven, BlackPOS nemá metodu extrakce dat offline, řekl Komarov. Zachycené informace jsou nahrávány na vzdálený server přes FTP.

Autor malware zapomněl skrýt aktivní okno prohlížeče, kde byl přihlášen do Vkontakte - společenské sítě populární v rusky hovořících zemích - při nahrávání soukromé demonstrační video. To umožnilo výzkumníkům CERT-GIB shromažďovat více informací o něm a jeho spolupracovnících, uvedl Komarov.

Autor BlackPOSu používá na Vkontakte internetový alias "Richard Wagner" a je správcem skupiny sociálních sítí, jejíž členové jsou spojeni s ruská pobočka Anonymous. Výzkumní pracovníci skupiny IB zjistili, že členové této skupiny jsou starší než 23 let a prodávají služby DDoS (distribuované odmítnutí služby) s cenami od 2 USD za hodinu.

Společnosti by měly omezit vzdálený přístup k jejich POS systémům omezená sada důvěryhodných adres IP (Internet Protocol) a měla by se ujistit, že jsou nainstalovány všechny bezpečnostní záplaty pro spuštěný software, řekl Komarov. Všechny akce provedené v takových systémech by měly být sledovány, řekl.