Nevű malware-t találnak a kutatóknak. A kutatók új, BlackPOS

Egy új rosszindulatú program, amely pont- az eladási (POS) rendszereket már használta az USA bankjainak ügyfeleihez tartozó, több ezer fizetési kártya kompromittálására, az oroszországi székhelyű biztonsági és számítógépes bűnüldözési vállalatból származó, a Group-IB kutatói szerint.

A POS kártevők nem új típusúak a cyber-bűnözők egyre inkább használják, mondta Andrey Komarov, a nemzetközi projektek vezetője az IB-csoportban szerdán e-mailben.

Komarov elmondta, hogy az IB csoport kutatói az elmúlt hat hónapban öt különböző POS malware fenyegetést azonosították. Azonban a legutóbbi, amelyet a hónap elején találtunk meg, alaposan megvizsgáltuk, ami egy parancs-és-vezérlési kiszolgáló felfedezéséhez és a számítógépes bűnözés azonosításához mögött rejlik.

[További olvasmány: A rosszindulatú programok eltávolítása a Windows PC-ről]

A rosszindulatú programokat az internetes földalatti fórumokon reklámozzák, a "Dump Memory Grabber by Ree" néven generikus néven, de a Group-IB számítógépes vészhelyzeti csapata (CERT-GIB) egy olyan felügyeleti panelt társított a rosszindulatú programokkal, amelyek a "BlackPOS" nevet használták.

A központi számítógépes számítógépes fórumon a rosszindulatú program szerzője által közzétett privát videó bemutató azt sugallja, hogy az USA által kiadott több ezer fizetési kártya a bankok, köztük a Chase, a Capital One, a Citibank, az Union Bank of California és a Nordstrom Bank már kompromittáltak.

Az IB csoport meghatározta az élő parancs-és vezérlő szervert, A VISA és az Egyesült Államok bűnüldöző szervezetei a fenyegetésről, mondta Komarov.

A BlackPOS megfertőzte a Windows rendszert futtató számítógépeket, amelyek a POS rendszerek részét képezik, és hozzájuk csatolva a kártyaolvasókat. Ezek a számítógépek általában az automatikus internetes beolvasások során találhatók meg, és fertőzöttek, mert rosszul vannak az operációs rendszerben sérültek vagy gyenge távoli adminisztrációs adatokat használnak, mondta Komarov. Néhány ritka esetben a rosszindulatú programokat a bennfentesek segítségével is bevetik.

POS rendszeren történő telepítés után a rosszindulatú szoftver azonosítja a hitelkártya-olvasóhoz kapcsolódó futási folyamatot, és ellopja a fizetési kártya 1. és 2. pálya adatai a memóriából. Ez a mágnescsíkban tárolt információ, amely később klónozható.

Más, a közelmúltban felfedezett vSkimmer nevű POS-mal okozott zavaró tényezőtől eltérően a BlackPOS nem rendelkezik offline adatelnyelési módszerrel, mondta Komarov. A beolvastatott információ fel van töltve egy távoli kiszolgálóra az FTP-en keresztül.

A rosszindulatú program szerzője elfelejtette elrejteni az aktív böngészőablakot, ahol bejelentkezett a Vkontakte-be - az orosz nyelvű országokban népszerű közösségi oldalról - a privát bemutató videó. Ez lehetővé tette a CERT-GIB kutatók számára, hogy több információt gyűjtsenek róla és munkatársaival kapcsolatban, mondta Komarov.

A BlackPOS szerző az online álnevet "Richard Wagner" a Vkontakte-on használja, és olyan közösségi hálózatépítő csoport adminisztrátora, az Anonymous orosz ága. A csoport-IB kutatók megállapították, hogy e csoport tagjai 23 évesnél fiatalabbak, és DDoS (elosztott megtagadási szolgáltatás) szolgáltatásokat értékesítenek, árai 2 USD / óra.

A vállalatoknak korlátozniuk kell a távoli hozzáférést POS rendszerükhöz korlátozott számú megbízható IP (Internet Protocol) címet, és győződjön meg róla, hogy minden biztonsági javítás telepítve van a rájuk futó szoftveren, mondta Komarov. Az ilyen rendszereken végzett összes tevékenységet figyelemmel kell kísérni, azt mondta.