Tutkijat löytävät uuden myyntipisteen nimeltä BlackPOS

Uusi haittaohjelma, joka tarttuu pisteisiin, -järjestelmät on jo käytetty kompensoimaan tuhansia pankkikortteja, jotka kuuluvat Yhdysvaltojen pankkien asiakkaisiin, ryhmään IB-tietoturva- ja tietokonetekniikkayritys, jotka toimivat Venäjällä.

POS-haittaohjelmat eivät ole uusi tyyppi

Komarov totesi, että IB-ryhmän tutkijat ovat havainneet viisi eri POS-haittaohjelmien uhkaa viimeisten kuuden kuukauden aikana.. Kuitenkin viimeisin, joka löytyi aikaisemmin tänä kuukautena, on tutkittu laajasti, mikä johtaa komento-ja-ohjauspalvelimen löytämiseen ja sen takana olevan tietoverkkorikollisen tunnistamiseen.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Haittaohjelmia mainostetaan Internetin maanalaisissa foorumeissa Ree-nimisen "Dump Memory Grabber" -nimen nimellä, mutta ryhmän IB-tietokoneen hätäapujoukkue (CERT-GIB) on nähnyt hallintopaneelin, joka liittyy haittaohjelmistoon, joka käytti nimitystä "BlackPOS".

Haittaohjelmien tekijän julkaisemassa korkean profiilin tietoverkkorikollisuudessa julkaistun ohjauspaneelin yksityisen videon esittelyn perusteella ehdotetaan, että Yhdysvaltojen antamat tuhannet maksukortit pankit, kuten Chase, Capital One, Citibank, Union Bank of California ja Nordstrom Bank, on jo vaarantunut.

Group-IB on tunnistanut Live Command-and-Control -palvelimen ja on ilmoittanut asianomaisille pankeille, VISA ja Yhdysvaltain lainvalvontaviranomaiset uhkauksesta, Komarov sanoi.

BlackPOS tarttuu tietokoneisiin, joissa on Windows-järjestelmät, jotka ovat osa POS-järjestelmiä, ja niillä on kortinlukijat. Nämä tietokoneet löytyvät yleisesti automaattisten Internet-skannausten aikana ja ovat tartunnan saaneita, koska niillä on epäsuorat haavoittuvuudet käyttöjärjestelmässä tai heikot hallintotunnukset, Komarov totesi.

Kun POS-järjestelmään on asennettu, haittaohjelma tunnistaa luottokortinlukijaan liittyvän käynnissä olevan prosessin ja varastaa maksukortin raidan 1 ja raidan 2 tiedot muististaan. Tämä on tietoja, jotka on tallennettu maksukorttien magneettinauhaan, ja niitä voidaan myöhemmin käyttää kloonaamaan.

Toisin kuin erilaiset POS-haittaohjelmat, joita kutsutaan nimellä vSkimmer, joka löytyi äskettäin, BlackPOSilla ei ole offline-tiedonkeruutapaa, Komarov sanoi. Kaapattu tieto ladataan etäpalvelimelle FTP: n kautta, hän sanoi.

Haittaohjelmien tekijä unohti piilottaa aktiivisen selainikkunan, jossa hän oli kirjautunut Vkontakteeseen - venäläiseltä puolelta suosittu sosiaalinen verkostoituminen - tallennettaessa yksityinen esittelyvideo. Tämä antoi CERT-GIB: n tutkijoille mahdollisuuden kerätä lisää tietoja hänestä ja hänen kumppaneistaan, Komarov sanoi.

BlackPOS-kirjailija käyttää verkkosanaa "Richard Wagner" Vkontakteella ja on sosiaalisen verkostoitumisen ryhmä, jonka jäsenet ovat yhteydessä Venäjän sivuliike Anonyymi. Ryhmä-IB-tutkijat päättivät, että tämän ryhmän jäsenet ovat alle 23-vuotiaita ja myyvät DDoS-palveluita, joiden hinta on alkanut US $ 2 tunnissa.

Yritysten tulisi rajoittaa etäkäyttömahdollisuuksia POS-järjestelmiinsä rajoitettu joukko luotettavia IP-osoitteita (Internet Protocol), ja sen pitäisi varmistaa, että kaikki suojauskorjaukset on asennettu käytettäväksi ohjelmistossa, Komarov sanoi. Kaikki tällaisissa järjestelmissä suoritettavat toimet olisi valvottava, hän sanoi.