Forscher finden neue Point-of-Sale-Malware namens BlackPOS

Eine neue Malware, die ansteckende Malware infiziert. Laut Forschern von Group-IB, einem Unternehmen für Sicherheit und Computerforensik mit Sitz in Russland, wurden bereits Tausende von Zahlungskarten für Kunden von US-Banken durch Verkaufssysteme (POS-Systeme) kompromittiert.

POS-Malware ist kein neuer Typ von Bedrohung, aber es wird zunehmend von Cyberkriminellen verwendet, sagte Andrey Komarov, Leiter der internationalen Projekte bei Group-IB, Mittwoch per E-Mail.

Komarov sagte, dass Group-IB Forscher fünf verschiedene POS Malware-Bedrohungen in den letzten sechs Monaten identifiziert haben. Der jüngste, der Anfang des Monats gefunden wurde, wurde jedoch ausführlich untersucht, was zur Entdeckung eines Kommando- und Kontroll-Servers und der Identifizierung der Cyberkriminellen Bande dahinter führte, sagte er.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Die Malware wird in unterirdischen Internetforen unter dem eher generischen Namen "Dump Memory Grabber by Ree" beworben, aber die Forscher des Group Emergency Response Teams (CERT-GIB) haben eine Administrationsgruppe mit der Malware in Verbindung gebracht, die den Namen "BlackPOS" verwendet.

Eine private Videodemonstration des Control Panels, die in einem hochkarätigen Cyberkriminellen-Forum vom Autor der Malware veröffentlicht wurde, legt nahe, dass tausende von US-Kreditkarten ausgestellt wurden Banken wie Chase, Capital One, Citibank, die Union Bank of California und die Nordstrom Bank wurden bereits kompromittiert.

Group-IB hat den Live-Command-and-Control-Server identifiziert und die betroffenen Banken benachrichtigt, VISA und die US-Strafverfolgungsbehörden über die Bedrohung, sagte Komarov.

BlackPOS infiziert Computer, auf denen Windows läuft, die Teil von POS-Systemen sind und an die Kartenleser angeschlossen sind. Diese Computer werden in der Regel bei automatisierten Internet-Scans gefunden und sind infiziert, weil sie nicht korrigierte Sicherheitslücken im Betriebssystem haben oder schwache Remote-Administrationsdaten verwenden, sagte Komarov. In einigen seltenen Fällen wird die Malware auch von Insidern mit Hilfe von Insidern bereitgestellt.

Nach der Installation auf einem POS-System identifiziert die Malware den laufenden Prozess des Kreditkartenlesers und stiehlt Zahlungskarten-Track 1 und Track 2-Daten aus seiner Erinnerung. Dies sind die Informationen, die auf dem Magnetstreifen der Zahlungskarten gespeichert sind und später zum Klonen verwendet werden können.

Im Gegensatz zu einer anderen POS-Malware namens vSkimmer, die kürzlich entdeckt wurde, verfügt BlackPOS nicht über eine Offline-Datenextraktionsmethode, sagte Komarov. Die erfassten Informationen werden per FTP auf einen Remote-Server hochgeladen, sagte er.

Der Autor der Malware vergaß, ein aktives Browserfenster zu verstecken, in dem er bei der Aufnahme in Vkontakte - eine Social-Networking-Site in russischsprachigen Ländern - eingeloggt war das private Demonstrationsvideo. Dies ermöglichte es den CERT-GIB-Forschern, mehr Informationen über ihn und seine Mitarbeiter zu sammeln, sagte Komarov.

Der BlackPOS-Autor verwendet den Online-Alias ​​"Richard Wagner" bei Vkontakte und ist der Administrator einer sozialen Netzwerkgruppe, mit der Mitglieder verbunden sind der russische Zweig von Anonymous. Die Group-IB-Forscher stellten fest, dass die Mitglieder dieser Gruppe unter 23 Jahre alt sind und DDoS-Services (Distributed Denial of Service) mit Preisen ab US $ 2 pro Stunde verkaufen.

Unternehmen sollten den Fernzugriff auf ihre POS-Systeme beschränken ein begrenztes Set von vertrauenswürdigen IP-Adressen (Internet Protocol) und sollte sicherstellen, dass alle Sicherheitspatches für die darauf laufende Software installiert sind, sagte Komarov. Alle Aktionen, die an solchen Systemen durchgeführt werden, sollten überwacht werden, sagte er.