Adlı yeni satış noktası kötü amaçlı yazılım buldular. Araştırmacılar, satış noktasını bozan yeni bir kötü amaçlı yazılım parçası (POS) Rusya merkezli bir güvenlik ve bilgisayar adli tıp şirketi olan Group-IB'nin araştırmacılarına göre, ABD bankalarının müşterilerine ait binlerce ödeme kartından ödün vermek için kullanılan sistemler şimdiden çok daha düşük.

POS kötü amaçlı yazılım yeni bir tür değil tehdidi, ancak siber suçluların giderek artan bir şekilde kullandığını söyledi, Andrey Komarov, Grup-IB'deki uluslararası projelerin başı e-posta yoluyla e-posta yoluyla geldi.

Komarov, Grup-IB'nin araştırmacılarının son altı ayda beş farklı POS tehdidi tehdidi tespit ettiklerini söyledi.. Ancak, bu ayın başlarında bulunan en sonuncusu, bir komuta-kontrol sunucusunun keşfine ve arkasındaki siber suç örgütünün tanımlanmasına yol açarak kapsamlı bir şekilde araştırılmıştı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz?]

Kötü amaçlı yazılımlar, Internet tabanlı forumlarda, "Ree tarafından Dump Memory Grabber" adı altında, ancak Group-IB'nin bilgisayar acil durum yanıt ekibinden (CERT-GIB) araştırmacılar tarafından tanıtılıyor.) "BlackPOS" adını kullanan kötü amaçlı yazılımla ilişkili bir yönetim paneli gördü

Kötü amaçlı yazılımın yazarı tarafından yayınlanan yüksek profilli bir siber suçlu forumda yayınlanan kontrol panelinin özel bir videosu gösterimi ABD tarafından yayınlanan binlerce ödeme kartının olduğunu öne sürüyor Chase, Capital One, Citibank, Union Union of California ve Nordstrom Bank gibi bankalar şimdiden taviz verdiler.

Group-IB, canlı komuta kontrol sunucusunu belirledi ve etkilenen bankalara bildirimde bulundu. VISA ve ABD yasa uygulayıcı kurumları tehdide karşı, Komarov dedi.

BlackPOS, POS sistemlerinin bir parçası olan ve onlara bağlı kart okuyucuları bulunan Windows çalıştıran bilgisayarlara bulaşıyor. Bu bilgisayarlar genellikle otomatik İnternet taramaları sırasında bulunurlar ve işletim sistemindeki yetkisiz güvenlik açıkları bulunduğundan veya zayıf uzaktan yönetim kimlik bilgilerini kullandıklarından dolayı virüs bulaşırlar. Bazı nadir durumlarda, kötü amaçlı yazılım da içeriden yardım aldıklarını söyledi.

Bir POS sistemine yüklendikten sonra, kötü amaçlı yazılım, kredi kartı okuyucusuyla ilişkilendirilen işlem sürecini tanımlar ve Ödeme Kartı 1 ve Parça 2 verilerini çaldı. onun hafızasından. Bu, ödeme kartlarının manyetik şeridinde saklanan bilgilerdir ve daha sonra bunları klonlamak için kullanılabilir.

Son zamanlarda keşfedilen vSkimmer adlı farklı bir POS yazılımından farklı olarak BlackPOS'un bir çevrimdışı veri ayıklama yöntemi olmadığı belirtildi. Yakalanan bilgiler FTP aracılığıyla uzak bir sunucuya yüklenir.

Kötü amaçlı yazılımın yazarı, kayıt sırasında Vkontakte - Rusça konuşulan ülkelerde popüler bir sosyal paylaşım sitesi - oturum açtığı aktif bir tarayıcı penceresini gizlemeyi unuttu. özel gösteri videosu. Bu, CERT-GIB araştırmacılarının kendileri ve meslektaşları hakkında daha fazla bilgi toplamasına izin verdi, dedi Komarov.

BlackPOS yazarı Vkontakte'de "Richard Wagner" adlı çevrimiçi takma adını kullanıyor ve üyeleri bağlı olan bir sosyal ağ grubunun yöneticisi. Anonim Rus şubesi. Grup-IB araştırmacıları bu grubun üyelerinin 23 yaşın altında olduğunu ve DDoS (dağıtılmış hizmet reddi) hizmetlerini saatte 2 $ 'dan başlayan fiyatlarla sattıklarını belirlediler.

Şirketler POS sistemlerine uzaktan erişimi kısıtlamalılar. Komarov, sınırlı bir dizi güvenilen IP (İnternet Protokolü) adresleri ve bunların üzerinde çalışan yazılımlar için tüm güvenlik yamaları kurulduğundan emin olmalıdır. Bu tür sistemlerde gerçekleştirilen tüm eylemler izlenmelidir, dedi.