McAfee advarer om malware-målretningssystemer

Et nyt stykke brugerdefineret malware, der sælges på det underjordiske internetmarked, bruges til at sippe betalingskortdata fra punkt (POS) -systemer, ifølge sikkerhedsforskere fra antivirusleverandøren McAfee.

Dubbelt vSkimmer er den trojansklignende malware designet til at inficere Windows-baserede computere, der har betalingskortlæsere knyttet til dem, McAfee Security Researcher Chintan Shah sagde i sidste uge i et blogindlæg.

Malware blev først opdaget af McAfees sensor netværk den 13. februar og annonceres for øjeblikket på cybercriminal forums som bedre end Dexter, et andet POS malware program, der blev opdaget tilbage i december ember.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Når den er installeret på en computer, samler vSkimmer oplysninger om operativsystemet, herunder dets version, unik GUID-id, standard sprog, værtsnavn og aktivt brugernavn. Disse oplysninger sendes tilbage til kontrol- og kommandoserveren i kodet format som en del af alle HTTP-anmodninger og bruges af angriberne til at holde styr på individuelt inficerede maskiner. Malware venter på, at serveren reagerer med kommandoen "dlx" (download og execute) eller "update" (update).

Hijacks betalingskortdata

VSkimmer søger i hukommelsen af ​​alle processer, der kører på den inficerede computer, bortset fra dem, der er hardcoded i en hvidliste, til information, der matcher et bestemt mønster. Denne proces er designet til at finde og udtrække kort Track 2-data fra hukommelsen af ​​processen i forbindelse med kreditkortlæseren.

Track 2-data er oplysninger gemt på magnetkortet på et betalingskort og kan bruges til at klone kortet, medmindre betalingskort bruger EMV (chip og pin) standard. Når det er sagt, i en meddelelse, der blev offentliggjort tidligere i måneden på et cybercriminal forum, sagde malwareforfatteren, at der arbejdes for at tilføje støtte til EMV-kort, og at "2013 bliver et godt år."

Malware giver også en offline dataudvindingsmekanisme. Når en internetforbindelse ikke er tilgængelig, vSkimmer venter på en USB-enhed med volumennavnet KARTOXA007, der skal sluttes til den inficerede computer, og kopierer derefter en logfil med de indsamlede data til den, sagde Shah.

Dette antyder, at vSkimmer var udformet til også at understøtte betalingskortsvindeloperationer, der er til gavn for insiderhjælp i tillæg til fjerntyverier.

VSkimmer er et andet eksempel på, hvordan økonomisk svig udvikler sig, og hvordan bankers trojanske programmer flytter sig fra at målrette mod de enkelte internetbankbrugers computere til målretning betalingskortterminaler, sagde Shah.