Pesquisadores descobrem novo malware para ponto de venda chamado BlackPOS

Um novo malware que infecta pontos-de- Sistemas de venda (POS) já foram usados ​​para comprometer milhares de cartões de pagamento pertencentes a clientes dos bancos dos EUA, segundo pesquisadores do Grupo IB, uma empresa forense de segurança e computação baseada na Rússia.

O malware POS não é um novo tipo de ameaça, mas é cada vez mais usado por cibercriminosos, disse Andrey Komarov, chefe de projetos internacionais do Grupo-IB, por e-mail.

Komarov disse que os pesquisadores do Group-IB identificaram cinco diferentes ameaças de malware nos últimos seis meses. No entanto, o mais recente, que foi encontrado no início deste mês, foi investigado extensivamente, levando à descoberta de um servidor de comando e controle e à identificação do grupo de criminosos cibernéticos por trás dele, disse ele.: O malware está sendo anunciado em fóruns subterrâneos da Internet sob o nome genérico de "Dump Memory Grabber por Ree", mas os pesquisadores da equipe de resposta a emergências de computador do Grupo-IB (CERT-GIB) viu um painel de administração associado ao malware que usava o nome "BlackPOS."

Uma demonstração em vídeo privada do painel de controle publicada em um fórum cibercriminoso de alto perfil pelo autor do malware sugere que milhares de cartões de pagamento emitidos pelos EUA os bancos, incluindo Chase, Capital One, Citibank, Union Bank of California e Nordstrom Bank, já foram comprometidos.

O Group-IB identificou o servidor de comando e controle ativo e notificou os bancos afetados, VISA e as agências de segurança dos EUA sobre a ameaça, disse Komarov.

O BlackPOS infecta computadores com Windows que fazem parte de sistemas de POS e possuem leitores de cartão conectados a eles. Esses computadores são geralmente encontrados durante varreduras automatizadas na Internet e são infectados porque têm vulnerabilidades não corrigidas no sistema operacional ou usam credenciais de administração remota fracas, disse Komarov. Em alguns casos raros, o malware também é implantado com a ajuda de pessoas de dentro, disse ele.

Uma vez instalado em um sistema de PDV, o malware identifica o processo de execução associado ao leitor de cartão de crédito e rouba os dados da faixa 1 e da faixa 2 do cartão de pagamento. da sua memória. Esta é a informação armazenada na tira magnética dos cartões de pagamento e pode ser usada posteriormente para cloná-los.

Ao contrário de um malware de PDV diferente chamado vSkimmer que foi descoberto recentemente, o BlackPOS não tem um método de extração de dados offline, disse Komarov. As informações capturadas são enviadas para um servidor remoto via FTP, disse ele.

O autor do malware esqueceu de ocultar uma janela ativa do navegador onde estava conectado ao Vkontakte - um site de redes sociais popular em países de língua russa - ao gravar o vídeo de demonstração privada. Isso permitiu aos pesquisadores do CERT-GIB reunir mais informações sobre ele e seus associados, disse Komarov.

O autor do BlackPOS usa o alias on-line "Richard Wagner" no Vkontakte e é o administrador de um grupo de rede social cujos membros estão vinculados o ramo russo do Anonymous. Os pesquisadores do Grupo-IB determinaram que os membros deste grupo têm menos de 23 anos e estão vendendo serviços de DDoS (negação de serviço distribuída) com preços a partir de US $ 2 por hora.

As empresas devem restringir o acesso remoto aos seus sistemas de PDV para um conjunto limitado de endereços confiáveis ​​de IP (Internet Protocol) e deve certificar-se de que todos os patches de segurança estejam instalados para o software em execução, disse Komarov. Todas as ações executadas em tais sistemas devem ser monitoradas, disse ele.