I ricercatori trovano un nuovo malware per punto vendita chiamato BlackPOS

Un nuovo malware che infetta il punto di i sistemi di vendita (POS) sono già stati utilizzati per compromettere migliaia di carte di pagamento appartenenti a clienti di banche statunitensi, secondo i ricercatori di Group-IB, una società di sicurezza e informatica forense con sede in Russia.

Il malware POS non è un nuovo tipo di minacce, ma è sempre più utilizzato dai criminali informatici, ha detto Andrey Komarov, responsabile dei progetti internazionali al Group-IB, mercoledì via e-mail.

Komarov ha affermato che i ricercatori di Group-IB hanno identificato cinque diverse minacce di malware POS negli ultimi sei mesi. Tuttavia, il più recente, che è stato trovato all'inizio di questo mese, è stato ampiamente studiato, portando alla scoperta di un server di comando e controllo e all'identificazione della banda di criminali informatici dietro di esso, ha detto.

[Approfondimenti: Come rimuovere il malware dal PC Windows]

Il malware viene pubblicizzato nei forum sotterranei di Internet con il nome piuttosto generico di "Dump Memory Grabber by Ree", ma i ricercatori del team di risposta di emergenza del gruppo IB (CERT-GIB) hanno visto un pannello di amministrazione associato al malware che utilizzava il nome "BlackPOS".

Una dimostrazione video privata del pannello di controllo pubblicata su un forum cybercriminale di alto profilo da parte dell'autore del malware suggerisce che migliaia di carte di pagamento emesse dagli Stati Uniti banche come Chase, Capital One, Citibank, Union Bank of California e Nordstrom Bank, sono già state compromesse.

Group-IB ha identificato il server live command-and-control e ha informato le banche interessate, Le forze dell'ordine VISA e statunitensi sulla minaccia, ha detto Komarov.

BlackPOS infetta i computer che eseguono Windows che fanno parte dei sistemi POS e sono dotati di lettori di schede. Questi computer sono generalmente rilevati durante le scansioni automatiche di Internet e sono infetti perché hanno vulnerabilità non applicate nel sistema operativo o utilizzano deboli credenziali di amministrazione remota, ha detto Komarov. In alcuni rari casi, il malware viene anche distribuito con l'aiuto degli addetti ai lavori, ha detto.

Una volta installato su un sistema POS, il malware identifica il processo in esecuzione associato al lettore di carte di credito e ruba i dati della traccia 1 e della traccia 2 della carta di pagamento dalla sua memoria. Queste sono le informazioni memorizzate sulla banda magnetica delle carte di pagamento e possono essere successivamente utilizzate per clonarle.

A differenza di un altro malware POS chiamato vSkimmer scoperto recentemente, BlackPOS non ha un metodo di estrazione dei dati offline, ha detto Komarov. Le informazioni acquisite sono caricate su un server remoto via FTP, ha detto.

L'autore del malware ha dimenticato di nascondere una finestra attiva del browser in cui era collegato a Vkontakte - un sito di social network popolare nei paesi di lingua russa - durante la registrazione il video dimostrativo privato. Ciò ha permesso ai ricercatori del CERT-GIB di raccogliere maggiori informazioni su di lui e sui suoi soci, ha detto Komarov.

L'autore di BlackPOS utilizza l'alias online "Richard Wagner" su Vkontakte ed è l'amministratore di un gruppo di social network i cui membri sono collegati a la filiale russa di Anonymous. I ricercatori del Gruppo-IB hanno stabilito che i membri di questo gruppo hanno meno di 23 anni e vendono servizi DDoS (servizio denial of service distribuito) con prezzi che partono da US $ 2 all'ora.

Le aziende dovrebbero limitare l'accesso remoto ai loro sistemi POS un insieme limitato di indirizzi IP (Internet Protocol) affidabili e dovrebbe assicurarsi che tutte le patch di sicurezza siano installate per il software in esecuzione su di esse, ha detto Komarov. Tutte le azioni eseguite su tali sistemi dovrebbero essere monitorate, ha detto.