Des chercheurs découvrent un nouveau logiciel malveillant au point de vente appelé BlackPOS

Un nouveau logiciel malveillant infecte le point de Les systèmes de vente (POS) ont déjà été utilisés pour compromettre des milliers de cartes de paiement appartenant à des clients de banques américaines, selon les chercheurs de Group-IB, une société de sécurité et d'informatique légale basée en Russie.

Le malware POS n'est pas un nouveau type Selon M. Komarov, les chercheurs de Group-IB ont identifié cinq menaces de logiciels malveillants au point de vente au cours des six derniers mois, selon Andrey Komarov, responsable des projets internationaux chez Group-IB.. Cependant, le plus récent, qui a été découvert plus tôt ce mois-ci, a fait l'objet d'une enquête approfondie, conduisant à la découverte d'un serveur de commande et de contrôle et à l'identification du gang cybercriminel derrière lui.

: Comment supprimer les logiciels malveillants de votre PC Windows]

Le malware est annoncé sur des forums souterrains sous le nom générique de "Dump Memory Grabber par Ree", mais les chercheurs de l'équipe d'intervention d'urgence informatique du Groupe-IB (CERT-GIB

Une démonstration vidéo privée du panneau de contrôle publiée sur un forum cybercriminel de haut niveau par l'auteur du malware suggère que des milliers de cartes de paiement émises par les Etats-Unis Des banques comme Chase, Capital One, Citibank, Union Bank of California et Nordstrom Bank ont ​​déjà été compromises.

Le groupe IB a identifié le serveur de commande et de contrôle en direct et a notifié les banques concernées, Komarov a déclaré:

BlackPOS infecte les ordinateurs fonctionnant sous Windows qui font partie des systèmes POS et ont des lecteurs de cartes attachés à eux. Ces ordinateurs sont généralement détectés lors d'analyses Internet automatisées et sont infectés car ils présentent des vulnérabilités non corrigées dans le système d'exploitation ou utilisent de faibles identifiants d'administration distante, a déclaré M. Komarov.

Une fois installé sur un système de point de vente, le logiciel malveillant identifie le processus en cours associé au lecteur de carte de crédit et vole les données de la piste 1 et 2 de la carte de paiement. de sa mémoire. Ce sont les informations stockées sur la bande magnétique des cartes de paiement qui peuvent ensuite être utilisées pour les cloner

Contrairement à un autre logiciel malveillant appelé vSkimmer découvert récemment, BlackPOS ne dispose pas d'une méthode d'extraction de données hors ligne, a déclaré M. Komarov.

L'auteur du malware a oublié de cacher une fenêtre de navigateur active où il était connecté à Vkontakte - un site de réseau social populaire dans les pays russophones - lors de l'enregistrement. la vidéo de démonstration privée. L'auteur de BlackPOS utilise l'alias en ligne "Richard Wagner" sur Vkontakte et est l'administrateur d'un groupe de réseaux sociaux dont les membres sont liés à la branche russe d'Anonymous. Les chercheurs du Groupe-IB ont déterminé que les membres de ce groupe ont moins de 23 ans et vendent des services DDoS (déni de service distribué) à partir de 2 USD par heure.

Les entreprises devraient restreindre l'accès à distance à leurs systèmes POS un ensemble limité d'adresses IP (Internet Protocol) de confiance et doit s'assurer que tous les correctifs de sécurité sont installés pour le logiciel qui les exécute, a déclaré Komarov. Il a ajouté que toutes les actions effectuées sur de tels systèmes devraient être surveillées.