Penyelidik mencari malware titik jualan baru yang dipanggil BlackPOS

Sekeping malware baru yang menjejaskan titik-of- sistem penjualan (POS) telah digunakan untuk menjejaskan beribu-ribu kad pembayaran milik pelanggan bank AS, menurut para penyelidik dari Kumpulan IB, syarikat forensik komputer dan keselamatan yang berpusat di Rusia.

POS malware bukanlah jenis baru dari ancaman, tetapi ia semakin digunakan oleh penjenayah siber, kata Andrey Komarov, ketua proyek internasional di Group-IB, melalui e-mel.

Komarov mengatakan penyelidik Group-IB telah mengenal pasti lima ancaman malware POS yang berbeza dalam enam bulan terakhir. Walau bagaimanapun, yang paling baru-baru ini, yang dijumpai awal bulan ini, telah diselidiki secara meluas, yang membawa kepada penemuan pelayan arahan dan kawalan dan pengenalpastian geng jenayah siber di belakangnya, katanya.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Alat perosak sedang diiklankan di forum bawah tanah Internet di bawah nama yang agak generik "Dump Memory Grabber oleh Ree," tetapi penyelidik dari pasukan tindak balas kecemasan komputer Kumpulan-IB (CERT-GIB) telah melihat panel pentadbiran yang dikaitkan dengan perisian hasad yang menggunakan nama "BlackPOS."

Sebuah demonstrasi video peribadi panel kawalan yang diterbitkan di forum siber jenayah yang berprofil tinggi oleh penulis perisian hasad mencadangkan ribuan kad pembayaran yang dikeluarkan oleh AS

Kumpulan-IB telah mengenal pasti pelayan arahan dan kawalan langsung dan telah memberitahu bank-bank yang terjejas, VISA dan agensi penguatkuasaan undang-undang A.S. tentang ancaman itu, kata Komarov.

BlackPOS menginfeksi komputer yang menjalankan Windows yang merupakan sebahagian dari sistem POS dan mempunyai pembaca kad yang melekat pada mereka. Komputer-komputer ini biasanya ditemui semasa imbasan Internet automatik dan dijangkiti kerana mereka mempunyai kelemahan yang tidak dipasang di OS atau menggunakan kelayakan pentadbiran jauh yang lemah, kata Komarov. Dalam sesetengah kes yang jarang berlaku, malware itu juga dikerahkan dengan bantuan orang dalam, kata beliau.

Setelah dipasang pada sistem POS, malware mengenal pasti proses berjalan yang berkaitan dengan pembaca kad kredit dan mencuri kad pembayaran Track 1 dan Track 2 data dari ingatannya. Ini adalah maklumat yang disimpan pada jalur kad magnetik kad pembayaran dan kemudiannya boleh digunakan untuk mengklonkannya.

Tidak seperti malware POS yang berbeza yang dipanggil vSkimmer yang telah ditemui baru-baru ini, BlackPOS tidak mempunyai kaedah pengekstrakan data luar talian, kata Komarov. Maklumat yang ditangkap dimuat naik ke pelayan jauh melalui FTP, katanya.

Pengarang malware itu terlupa untuk menyembunyikan tetingkap penyemak imbas yang aktif di mana dia telah log masuk ke Vkontakte - tapak rangkaian sosial yang popular di negara berbahasa Rusia - semasa merakam video demonstrasi swasta. Ini membolehkan para penyelidik CERT-GIB mengumpulkan lebih banyak maklumat tentang dia dan rakan-rakannya, kata Komarov.

Pengarang BlackPOS menggunakan alias dalam talian "Richard Wagner" pada Vkontakte dan merupakan pentadbir kumpulan rangkaian sosial yang anggotanya dihubungkan dengan cawangan Rusia Anonymous. Para penyelidik Kumpulan-IB memutuskan bahawa ahli kumpulan ini berusia di bawah 23 tahun dan menjual perkhidmatan DDoS (perkhidmatan penafian diedarkan) dengan harga bermula dari US $ 2 per jam.

Syarikat harus membatasi akses jauh ke sistem POS mereka satu set yang terhad alamat IP (Internet Protocol) yang dipercayai dan harus memastikan bahawa semua patch keselamatan dipasang untuk perisian yang dijalankan pada mereka, kata Komarov. Semua tindakan yang dilakukan pada sistem sedemikian perlu dipantau, katanya.