Forskere finner nytt malware for malware som kalles BlackPOS

Et nytt stykke malware som infiserer point-of- salgssystemer (POS) har allerede blitt brukt til å kompromittere tusenvis av betalingskort tilhørende kunder fra amerikanske banker, ifølge forskere fra Group-IB, et sikkerhets- og dataregnselskap basert på Russland.

POS-malware er ikke en ny type av trussel, men det blir stadig mer brukt av cyberkriminelle, sier Andrey Komarov, leder av internasjonale prosjekter i Group-IB, onsdag via e-post.

Komarov sa at konsernets IB-forskere har identifisert fem forskjellige POS-malware trusler de siste seks månedene. Men den siste som ble funnet tidligere denne måneden, har blitt undersøkt omfattende, noe som førte til oppdagelsen av en kommando- og kontrollserver og identifikasjonen av den cyberkriminelle gjengen bak den, sa han.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Malware blir annonsert på Internett-undergrunnsfora under det ganske generiske navnet "Dump Memory Grabber by Ree", men forskere fra Group-IBs beredskapssystem (CERT-GIB) har sett et administrasjonspanel assosiert med skadelig programvare som brukte navnet "BlackPOS".

En privat videodemonstrasjon av kontrollpanelet publisert på et høyt profilert nettkriminalforum av malwareforfatteren antyder at tusenvis av betalingskort utstedt av USA Banker, inkludert Chase, Capital One, Citibank, Union Bank of California og Nordstrom Bank, har allerede blitt kompromittert.

Group-IB har identifisert Live Command-and-Control-serveren og har meldt de berørte bankene, VISA og amerikanske politimyndigheter om trusselen, sa Komarov.

BlackPOS infiserer datamaskiner som kjører Windows som er en del av POS-systemer og har kortlesere knyttet til dem. Disse datamaskinene er vanligvis funnet under automatiserte Internett-skanninger og er smittet fordi de har upakket sårbarheter i operativsystemet eller bruker svake administrasjonsbevis for fjernadministrasjon, sa Komarov. I noen sjeldne tilfeller blir malware også distribuert med hjelp fra innsidere, sa han.

Når den er installert på et POS-system, identifiserer malware kjøringsprosessen knyttet til kredittkortleseren og stjeler betalingskort spor 1 og spor 2-data fra sitt minne. Dette er informasjonen som er lagret på magnetkortet til betalingskort, og kan senere brukes til å klone dem.

I motsetning til en annen POS-malware kalt vSkimmer, som ble oppdaget nylig, har ikke BlackPOS en dataoppsamlingsmetode for nettbasert data, sa Komarov. Den oppfangne ​​informasjonen lastes opp til en ekstern server via FTP, sa han.

Forfatterens forfatter glemte å skjule et aktivt nettleservindu der han var logget inn på Vkontakte - et sosialt nettverk som er populært i russisktalende land - ved opptak den private demonstrasjonsvideoen. Dette gjorde at CERT-GIB-forskerne kunne samle mer informasjon om ham og hans medarbeidere, sa Komarov.

BlackPOS-forfatteren bruker online-aliaset "Richard Wagner" på Vkontakte og er administrator for en sosialt nettverkskrets hvis medlemmer er knyttet til Den russiske grenen av Anonym. Konsern-IB-forskerne bestemte seg for at medlemmene i denne gruppen er under 23 år og selger DDoS-tjenester (distribuert tjenestenekt) med priser som starter på US $ 2 per time.

Bedrifter bør begrense ekstern tilgang til deres POS-systemer til et begrenset sett av pålitelige IP-adresser (Internet Protocol) og bør sørge for at alle sikkerhetsoppdateringer er installert for at programvaren kjører på dem, sa Komarov. Alle handlinger som utføres på slike systemer, bør overvåkes, sa han.