Forskere finder ny malware, der kaldes BlackPOS

Et nyt stykke malware, der inficerer point-of- salgssystemer (POS) er allerede brugt til at kompromittere tusindvis af betalingskort tilhørende kunder i amerikanske banker, ifølge forskere fra Group-IB, et sikkerheds- og computerforensics-selskab baseret i Rusland.

POS-malware er ikke en ny type af trussel, men det bliver i stigende grad brugt af cyberkriminelle, siger Andrey Komarov, leder af internationale projekter i Group-IB, onsdag via email.

Komarov sagde, at gruppeb IB's forskere har identificeret fem forskellige POS malware trusler i de sidste seks måneder. Men den seneste, der blev fundet tidligere i denne måned, er blevet undersøgt udførligt, hvilket førte til opdagelsen af ​​en kommando- og kontrolserver og identifikationen af ​​den cyberkriminelle bander bag den, sagde han.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Malware bliver annonceret på internet undergroundfora under det ganske generiske navn "Dump Memory Grabber by Ree", men forskere fra Group-IBs computerberedskabssamarbejde (CERT-GIB) har set et administrationspanel i forbindelse med malware, der benyttede navnet "BlackPOS".

En privat video demonstration af kontrolpanelet offentliggjort på et højt profileret cybercriminal forum af malwareforfatteren antyder, at tusindvis af betalingskort udstedt af USA banker, herunder Chase, Capital One, Citibank, Union Bank of California og Nordstrom Bank, er allerede blevet kompromitteret.

Group-IB har identificeret live command-and-control-serveren og har meddelt de berørte banker, VISA og amerikanske retshåndhævende myndigheder om truslen, sagde Komarov.

BlackPOS inficerer computere, der kører Windows, der er en del af POS-systemer og har kortlæsere knyttet til dem. Disse computere findes generelt under automatiserede internetscanninger og er smittet, fordi de har updaterede sårbarheder i operativsystemet eller bruger svage fjernadministrationsoplysninger, sagde Komarov. I nogle sjældne tilfælde er malware også implementeret med hjælp fra insidere, sagde han.

Når den er installeret på et POS-system, identificerer malware den løbende proces, der er forbundet med kreditkortlæseren, og stjæler betalingskortet Spor 1 og spor 2-data fra sin hukommelse. Dette er de oplysninger, der er gemt på magnetkortet af betalingskort og kan senere bruges til at klone dem.

I modsætning til en anden POS-malware kaldet vSkimmer, der blev opdaget for nylig, har BlackPOS ikke en offline dataudvindingsmetode, sagde Komarov. Den indfangede information uploades til en ekstern server via FTP, sagde han.

Forfatterens forfatter glemte at skjule et aktivt browservindue, hvor han var logget ind på Vkontakte - et socialt netværk, der er populært i russisktalende lande - ved optagelse den private demonstration video. Dette gav CERT-GIB-forskerne mulighed for at indhente flere oplysninger om ham og hans medarbejdere, sagde Komarov.

BlackPOS-forfatteren bruger online-aliaset "Richard Wagner" på Vkontakte og er administrator for en social networking-gruppe, hvis medlemmer er knyttet til Den russiske gren af ​​Anonym. Gruppe-IB-forskerne fastslog, at medlemmerne af denne gruppe er under 23 år og sælger DDoS-tjenester (distribueret benægtelse af service) med priser fra 2 USD pr. Time.

Virksomheder bør begrænse fjernadgang til deres POS-systemer til et begrænset sæt af betroede IP-adresser (Internet Protocol) og bør sørge for, at alle sikkerhedspatcher er installeret til software, der kører på dem, sagde Komarov. Alle handlinger udført på sådanne systemer skal overvåges, sagde han.