Исследователи находят новое торговое вредоносное ПО BlackPOS

Новая часть вредоносного ПО, продажи (POS) уже использовались для компрометации тысяч платежных карт, принадлежащих клиентам банков США, сообщают исследователи из Group-IB, компании по безопасности и компьютерной криминалистике, расположенной в России.

POS-вредоносность не является новым типом угрозы, но он все чаще используется киберпреступниками, сказал Андрей Комаров, руководитель международных проектов в Group-IB в среду по электронной почте.

Комаров сказал, что исследователи группы IB определили пять различных угроз вредоносных программ POS за последние шесть месяцев, Тем не менее, последний из них, который был найден ранее в этом месяце, был широко исследован, что привело к обнаружению сервера управления и контроля и идентификации кибер-преступной группировки за его пределами, сказал он.

[далее]: Как удалить вредоносное ПО с вашего ПК с Windows]

Вредоносная программа размещается на интернет-форумах под общим названием «Dump Memory Grabber by Ree», но исследователи из команды реагирования на компьютерные команды группы IB (CERT-GIB) видели панель администрирования, связанную с вредоносным ПО, которое использовало имя «BlackPOS».

Частная демонстрация видео панели управления, опубликованная автором на громком киберпреступном форуме автором вредоносного ПО, предполагает, что тысячи платежных карт, выпущенных США банки, в том числе Chase, Capital One, Citibank, Union Bank of California и Nordstrom Bank, уже скомпрометированы.

Группа IB определила живой сервер управления и контроля и уведомил затронутые банки, Виза и США правоохранительные органы об угрозе, сказал Комаров.

BlackPOS заражает компьютеры, работающие под Windows, которые являются частью POS-систем и к ним прикреплены считыватели карт. Эти компьютеры обычно обнаруживаются во время автоматического сканирования в Интернете и заражаются, поскольку они не имеют уязвимостей в ОС или используют слабые полномочия удаленного администрирования, сказал Комаров. В некоторых редких случаях вредоносное ПО также развертывается с помощью инсайдеров, сказал он.

После установки в POS-систему вредоносное ПО идентифицирует запущенный процесс, связанный с устройством чтения кредитных карт, и крадет платежную карту Трек 1 и Трек 2 из его памяти. Это информация, хранящаяся на магнитной полосе платежных карточек, и впоследствии может быть использована для их клонирования.

В отличие от другой вредоносной программы POS, известной как vSkimmer, которая была обнаружена недавно, BlackPOS не использует метод извлечения автономных данных, сказал Комаров. По его словам, захваченная информация загружается на удаленный сервер через FTP.

Автор вредоносного ПО забыл скрыть активное окно браузера, где он вошел в Vkontakte - сайт социальной сети, популярный в русскоязычных странах, - при записи частное демонстрационное видео. Это позволило исследователям CERT-GIB собрать больше информации о нем и его сотрудниках, сказал Комаров.

Автор BlackPOS использует онлайн-псевдоним «Ричард Вагнер» в «Вконтакте» и является администратором группы социальных сетей, члены которой связаны с в российском филиале Аноним. Исследователи группы IB определили, что членам этой группы не исполнилось 23 года, и они продают услуги DDoS (распределенные отказы) с ценами от 2 долларов США в час.

Компании должны ограничить удаленный доступ к своим POS-системам до ограниченный набор доверенных IP-адресов (Internet Protocol) и должен убедиться, что все исправления безопасности установлены для программного обеспечения, запущенного на них, сказал Комаров. Все действия, выполняемые на таких системах, должны контролироваться, сказал он.