นักวิจัยพบมัลแวร์ใหม่ ๆ ที่เรียกว่า BlackPOS

มัลแวร์ใหม่ ๆ ที่ติดเชื้อในระบบจุด - จุด - ตามที่นักวิจัยจาก Group-IB ซึ่งเป็น บริษัท ด้านความปลอดภัยและคอมพิวเตอร์นิติในรัสเซียกล่าวว่า

มัลแวร์ POS ไม่ใช่ประเภทใหม่ Komarov กล่าวว่านักวิจัยของ Group-IB ได้ระบุว่ามีมัลแวร์มัลแวร์ห้าตัวในช่วง 6 เดือนที่ผ่านมา. อย่างไรก็ตามล่าสุดรายงานล่าสุดซึ่งพบเมื่อต้นเดือนที่ผ่านมาได้รับการตรวจสอบอย่างกว้างขวางซึ่งนำไปสู่การค้นพบเซิร์ฟเวอร์คำสั่งและการควบคุมและระบุถึงกลุ่มอาชญากรทางไซเบอร์ที่อยู่เบื้องหลังเขากล่าวว่า

[อ่านเพิ่มเติม: การลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

มัลแวร์กำลังถูกโฆษณาในฟอรัมใต้ดินบนอินเทอร์เน็ตภายใต้ชื่อ "Dump Memory Grabber by Ree" แต่นักวิจัยจากทีมตอบสนองทางคอมพิวเตอร์ของ Group-IB (CERT-GIB)) ได้เห็นแผงการบริหารที่เกี่ยวข้องกับมัลแวร์ที่ใช้ชื่อ "BlackPOS"

การสาธิตวิดีโอส่วนตัวของแผงควบคุมที่เผยแพร่บนฟอรัมด้านข้อมูลอาชญากรรมในระดับสูงโดยผู้เขียนมัลแวร์ระบุว่าบัตรชำระเงินหลายพันรายการที่ออกโดยสหรัฐอเมริกา ธนาคารรวมทั้ง Chase, Capital One, Citibank, Union Bank of California และ Nordstrom Bank ได้ถูกบุกรุกแล้ว

Group-IB ได้ระบุเซิร์ฟเวอร์คำสั่งและควบคุมการใช้ชีวิตและได้แจ้งเตือนธนาคารที่ได้รับผลกระทบ, VISA และ U.S. เกี่ยวกับภัยคุกคามนี้ Komarov กล่าวว่า

BlackPOS ติดเครื่องคอมพิวเตอร์ที่ใช้ Windows ซึ่งเป็นส่วนหนึ่งของระบบ POS และมีเครื่องอ่านการ์ดติดอยู่ คอมพิวเตอร์เหล่านี้พบโดยทั่วไปในระหว่างการสแกนทางอินเทอร์เน็ตโดยอัตโนมัติและติดเชื้อเพราะมีช่องโหว่ที่ยังไม่ได้รับการติดตั้งในระบบปฏิบัติการหรือใช้ข้อมูลประจำตัวที่มีการจัดการระยะไกลที่อ่อนแอ Komarov กล่าว ในบางครั้งมัลแวร์ก็ถูกนำไปใช้งานด้วยความช่วยเหลือจากภายในเขากล่าวว่า

เมื่อติดตั้งบนระบบ POS แล้วมัลแวร์จะระบุกระบวนการทำงานที่เกี่ยวข้องกับเครื่องอ่านบัตรเครดิตและขโมยข้อมูลบัตรติดตาม 1 และ Track 2 จากหน่วยความจำ นี่คือข้อมูลที่เก็บไว้ในแถบแม่เหล็กของบัตรชำระเงินและสามารถใช้โคลนได้ในภายหลัง

ไม่เหมือนมัลแวร์ POS ที่เรียกว่า vSkimmer ที่ถูกค้นพบเมื่อเร็ว ๆ นี้ BlackPOS ไม่มีวิธีการสกัดข้อมูลออฟไลน์ Komarov กล่าว ข้อมูลถูกบันทึกถูกอัพโหลดไปยังเซิร์ฟเวอร์ระยะไกลผ่านทาง FTP เขากล่าว

ผู้เขียนมัลแวร์ลืมที่จะซ่อนหน้าต่างเบราเซอร์ที่ใช้งานอยู่ซึ่งเขาได้ล็อกอินเข้าสู่ Vkontakte ซึ่งเป็นไซต์เครือข่ายสังคมที่เป็นที่นิยมในประเทศที่พูดภาษารัสเซีย วิดีโอสาธิตส่วนตัว อนุญาตให้นักวิจัยของ CERT-GIB รวบรวมข้อมูลเพิ่มเติมเกี่ยวกับเขาและเพื่อนร่วมงานของเขา Komarov กล่าวผู้เขียน BlackPOS ใช้นามแฝงออนไลน์ "Richard Wagner" ใน Vkontakte และเป็นผู้ดูแลระบบเครือข่ายสังคมที่มีสมาชิกเชื่อมโยงอยู่ สาขาภาษารัสเซียของผู้ไม่ประสงค์ออกนาม นักวิจัยของกลุ่ม IB ระบุว่าสมาชิกของกลุ่มนี้มีอายุต่ำกว่า 23 ปีและขายบริการ DDoS (Distributed Denial of Service) ด้วยราคาเริ่มต้นที่ US $ 2 ต่อชั่วโมง

บริษัท ควร จำกัด การเข้าถึงระบบ POS ไปที่ ที่อยู่ IP ที่เชื่อถือได้ (Internet Protocol) และควรตรวจสอบให้แน่ใจว่ามีการติดตั้งซอฟต์แวร์รักษาความปลอดภัยทั้งหมดสำหรับซอฟต์แวร์ที่ใช้งานอยู่ Komarov กล่าว เขาควรจะตรวจสอบการดำเนินการทั้งหมดในระบบดังกล่าว