Onderzoekers vinden nieuwe verkoopsmalware BlackPOS

Een nieuw stuk malware dat point-of-infecties infecteert verkoop (POS) systemen zijn al gebruikt om duizenden betaalkaarten van klanten van Amerikaanse banken in gevaar te brengen, volgens onderzoekers van Group-IB, een beveiligings- en computerforensisch bedrijf in Rusland.

POS-malware is geen nieuw type van dreiging, maar het wordt steeds vaker gebruikt door cybercriminelen, zei Andrey Komarov, het hoofd van internationale projecten bij Group-IB, woensdag via e-mail.

Komarov zei dat de onderzoekers van Group-IB in de afgelopen zes maanden vijf verschillende bedreigingen van POS-malware hebben geïdentificeerd. Echter, de meest recente, die eerder deze maand werd gevonden, is uitgebreid onderzocht, wat heeft geleid tot de ontdekking van een command-and-control server en de identificatie van de cybercriminele bende erachter, zei hij.

: Hoe malware van uw Windows-pc te verwijderen]

De malware wordt geadverteerd op internet-forums onder de vrij algemene naam "Dump Memory Grabber by Ree," maar onderzoekers van het computer-noodhulpteam van de Groep-IB (CERT-GIB) hebben een beheerpaneel gezien dat is gekoppeld aan de malware die de naam "BlackPOS" heeft gebruikt.

Een privévideodemonstratie van het controlepaneel die is gepubliceerd op een spraakmakend cybercrimineel forum door de auteur van de malware, suggereert dat duizenden betaalkaarten uitgegeven door de VS banken, waaronder Chase, Capital One, Citibank, Union Bank of California en Nordstrom Bank, zijn al gecompromitteerd. Group-IB heeft de live command-and-control-server geïdentificeerd en de getroffen banken hiervan op de hoogte gebracht, VISA en Amerikaanse wetshandhavingsinstanties over de dreiging, zei Komarov.

BlackPOS infecteert computers met Windows die deel uitmaken van kassasystemen en waaraan kaartlezers zijn gekoppeld. Deze computers worden meestal aangetroffen tijdens geautomatiseerde internet-scans en zijn geïnfecteerd omdat ze niet-gepatchte kwetsbaarheden in het besturingssysteem hebben of zwakke beheerdersreferenties gebruiken, zei Komarov. In enkele zeldzame gevallen wordt de malware ook ingezet met hulp van insiders, zei hij.

Na installatie op een POS-systeem identificeert de malware het lopende proces van de creditcardlezer en steelt de gegevens van de betaalkaart Track 1 en Track 2 van zijn geheugen. Dit is de informatie die is opgeslagen op de magneetstrip van betaalkaarten en die later kan worden gebruikt om ze te klonen.

Anders dan een andere POS-malware genaamd vSkimmer die onlangs werd ontdekt, heeft BlackPOS geen offlinegegevens-extractiemethode, zei Komarov. De vastgelegde informatie wordt via FTP geüpload naar een externe server, zei hij.

De auteur van de malware vergat een actief browservenster te verbergen waarin hij was ingelogd bij Vkontakte - een sociale netwerksite die populair is in Russisch sprekende landen - bij het opnemen de privé-demonstratievideo. Hierdoor konden de CERT-GIB-onderzoekers meer informatie over hem en zijn medewerkers verzamelen, zei Komarov.

De BlackPOS-auteur gebruikt de online alias "Richard Wagner" op Vkontakte en is de beheerder van een sociale netwerkgroep wiens leden zijn gekoppeld aan de Russische tak van Anonymous. De onderzoekers van Group-IB hebben vastgesteld dat de leden van deze groep jonger zijn dan 23 jaar en DDoS-diensten (distributed denial of service) verkopen met prijzen vanaf $ 2 per uur.

Bedrijven moeten de toegang op afstand tot hun kassasystemen beperken tot een beperkte set vertrouwde IP (Internet Protocol) -adressen en moet ervoor zorgen dat alle beveiligingspatches worden geïnstalleerd voor de software die erop draait, zei Komarov. Alle acties uitgevoerd op dergelijke systemen moeten worden gecontroleerd, zei hij.