Các nhà nghiên cứu tìm thấy phần mềm độc hại mới có tên BlackPOS

Một phần mềm độc hại mới lây nhiễm point-of- hệ thống bán hàng (POS) đã được sử dụng để thỏa hiệp hàng ngàn thẻ thanh toán thuộc về khách hàng của các ngân hàng Mỹ, theo các nhà nghiên cứu từ Group-IB, một công ty bảo mật và máy tính có trụ sở tại Nga. Andrey Komarov, người đứng đầu các dự án quốc tế tại Group-IB, thứ tư qua email.

Komarov nói rằng các nhà nghiên cứu của Group-IB đã xác định năm mối đe dọa phần mềm độc hại POS khác nhau trong sáu tháng qua. Tuy nhiên, phiên bản mới nhất, được tìm thấy đầu tháng này, đã được nghiên cứu rộng rãi, dẫn đến việc phát hiện ra một máy chủ điều khiển và xác định băng nhóm tội phạm mạng phía sau nó,

[Đọc thêm Làm thế nào để loại bỏ phần mềm độc hại khỏi máy tính Windows của bạn]

Phần mềm độc hại đang được quảng cáo trên diễn đàn ngầm dưới tên "Dump Memory Grabber by Ree", nhưng các nhà nghiên cứu từ nhóm phản ứng khẩn cấp máy tính của Nhóm-IB (CERT-GIB) Một cuộc biểu tình video riêng tư của bảng điều khiển được xuất bản trên một diễn đàn về tội phạm mạng cao cấp bởi tác giả của phần mềm độc hại cho thấy rằng hàng nghìn thẻ thanh toán do Hoa Kỳ phát hành các ngân hàng bao gồm Chase, Capital One, Citibank, Union Bank of California và Nordstrom Bank, đã bị xâm phạm.

Group-IB đã xác định máy chủ điều khiển và lệnh trực tiếp và đã thông báo cho các ngân hàng bị ảnh hưởng, VISA và các cơ quan thực thi pháp luật Hoa Kỳ về mối đe dọa, Komarov nói.

BlackPOS lây nhiễm cho các máy tính chạy Windows là một phần của hệ thống POS và có đầu đọc thẻ gắn với chúng. Các máy tính này thường được tìm thấy trong quá trình quét Internet tự động và bị nhiễm vì chúng có lỗ hổng chưa được vá trong hệ điều hành hoặc sử dụng thông tin quản trị từ xa yếu, Komarov nói.

Sau khi được cài đặt trên hệ thống POS, phần mềm độc hại xác định quá trình chạy được kết hợp với trình đọc thẻ tín dụng và đánh cắp thẻ thanh toán Theo dõi dữ liệu Track 1 và Track 2 từ bộ nhớ của nó. Đây là thông tin được lưu trữ trên dải từ của thẻ thanh toán và sau này có thể được sử dụng để sao chép chúng.

Không giống như một phần mềm độc hại POS khác được gọi là vSkimmer được phát hiện gần đây, BlackPOS không có phương pháp trích xuất dữ liệu ngoại tuyến. Các thông tin bị bắt được tải lên một máy chủ từ xa thông qua FTP, ông nói.

Tác giả của phần mềm độc hại quên giấu một cửa sổ trình duyệt đang hoạt động, nơi anh ta đăng nhập vào Vkontakte - một trang mạng xã hội phổ biến ở các nước nói tiếng Nga. video trình diễn riêng tư. Điều này cho phép các nhà nghiên cứu CERT-GIB thu thập thêm thông tin về anh ta và các cộng sự của anh ấy, Komarov nói.

Tác giả BlackPOS sử dụng bí danh trực tuyến "Richard Wagner" trên Vkontakte và là quản trị viên của một nhóm mạng xã hội có thành viên chi nhánh Nga của Anonymous. Các nhà nghiên cứu Group-IB đã xác định rằng các thành viên của nhóm này dưới 23 tuổi và đang bán dịch vụ DDoS (dịch vụ từ chối phân phối) với giá khởi điểm là 2 đô la Mỹ mỗi giờ. một bộ giới hạn địa chỉ IP tin cậy (Giao thức Internet) và phải đảm bảo rằng tất cả các bản vá bảo mật được cài đặt cho phần mềm chạy trên chúng, Komarov nói. Tất cả các hành động được thực hiện trên các hệ thống như vậy phải được theo dõi, ông nói.