Peneliti menemukan malware titik jual baru yang disebut BlackPOS

Sepotong malware baru yang menginfeksi titik-of- Sistem penjualan (POS) telah digunakan untuk mengkompromikan ribuan kartu pembayaran milik pelanggan bank-bank AS, menurut peneliti dari Group-IB, perusahaan keamanan dan komputer forensik yang berbasis di Rusia.

malware POS bukan tipe baru ancaman, tetapi semakin banyak digunakan oleh penjahat dunia maya, kata Andrey Komarov, kepala proyek internasional di Grup-IB, Rabu melalui email.

Komarov mengatakan bahwa para peneliti Grup-IB telah mengidentifikasi lima ancaman malware POS yang berbeda dalam enam bulan terakhir.. Namun, yang paling baru, yang ditemukan awal bulan ini, telah diselidiki secara luas, yang mengarah ke penemuan server perintah-dan-kontrol dan identifikasi geng cybercriminal di belakangnya, katanya.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Perangkat lunak perusak sedang diiklankan di forum bawah tanah Internet dengan nama yang agak umum "Dump Memory Grabber oleh Ree," tetapi para peneliti dari tim tanggap darurat komputer Grup-IB (CERT-GIB) telah melihat panel administrasi yang terkait dengan malware yang menggunakan nama "BlackPOS."

Demonstrasi video pribadi dari panel kontrol yang dipublikasikan pada forum cybercriminal profil tinggi oleh pembuat malware menunjukkan bahwa ribuan kartu pembayaran dikeluarkan oleh AS bank termasuk Chase, Capital One, Citibank, Union Bank of California dan Nordstrom Bank, telah dikompromikan.

Grup-IB telah mengidentifikasi server perintah-dan-kontrol langsung dan telah memberi tahu bank-bank yang terkena dampak, VISA dan lembaga penegak hukum AS tentang ancaman tersebut, Komarov mengatakan.

BlackPOS menginfeksi komputer yang menjalankan Windows yang merupakan bagian dari sistem POS dan memiliki pembaca kartu yang melekat padanya. Komputer-komputer ini umumnya ditemukan selama pemindaian Internet otomatis dan terinfeksi karena mereka memiliki kerentanan unpatched di OS atau menggunakan kredensial administrasi remote yang lemah, Komarov mengatakan. Dalam beberapa kasus yang jarang terjadi, malware juga dikerahkan dengan bantuan dari orang dalam, katanya.

Setelah diinstal pada sistem POS, malware mengidentifikasi proses yang berjalan terkait dengan pembaca kartu kredit dan mencuri data kartu pembayaran Track 1 dan Track 2 dari ingatannya. Ini adalah informasi yang disimpan di strip magnetik kartu pembayaran dan nantinya dapat digunakan untuk mengkloning mereka.

Tidak seperti malware POS yang berbeda yang disebut vSkimmer yang ditemukan baru-baru ini, BlackPOS tidak memiliki metode ekstraksi data offline, Komarov mengatakan. Informasi yang ditangkap diunggah ke server jauh melalui FTP, katanya.

Pembuat malware itu lupa untuk menyembunyikan jendela browser yang aktif di mana dia masuk ke Vkontakte - situs jejaring sosial yang populer di negara-negara berbahasa Rusia - saat merekam video demonstrasi pribadi. Hal ini memungkinkan para peneliti CERT-GIB untuk mengumpulkan lebih banyak informasi tentang dia dan rekan-rekannya, Komarov mengatakan.

Penulis BlackPOS menggunakan alias online "Richard Wagner" di Vkontakte dan merupakan administrator grup jejaring sosial yang anggotanya terkait dengan cabang Rusia Anonymous. Para peneliti Grup-IB menetapkan bahwa anggota kelompok ini berusia di bawah 23 tahun dan menjual layanan DDoS (distributed denial of service) dengan harga mulai dari US $ 2 per jam.

Perusahaan harus membatasi akses jarak jauh ke sistem POS mereka ke satu set terbatas alamat IP (Internet Protocol) tepercaya dan harus memastikan bahwa semua patch keamanan diinstal untuk perangkat lunak yang berjalan pada mereka, kata Komarov. Semua tindakan yang dilakukan pada sistem tersebut harus dipantau, katanya.