Forskare hittar ny malware som kallas BlackPOS

En ny del av skadlig kod som infekterar punkt-of- försäljningssystem (POS) har redan använts för att kompromissa med tusentals betalkort som tillhör kunder från amerikanska banker, enligt forskare från Group-IB, ett säkerhets- och datorteknikföretag baserat i Ryssland.

POS-skadlig programvara är inte en ny typ av hot, men det används alltmer av cyberkriminella, säger Andrey Komarov, chef för internationella projekt på Group-IB, onsdag via e-post.

Komarov sa att grupp-IB: s forskare har identifierat fem olika hot mot POS-skadliga program de senaste sex månaderna. Men den senaste, som hittades tidigare i månaden, har undersökts i stor utsträckning, vilket ledde till upptäckten av en kommando- och kontrollserver och identifieringen av det cyberkriminella gänget bakom det, sade han.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Malware annonseras på Internet-undergroundfora under det ganska generiska namnet "Dump Memory Grabber by Ree", men forskare från Group-IB: s datorberedningsgrupp (CERT-GIB) har sett en administratörspanel som är associerad med skadlig programvara som använde namnet "BlackPOS".

En privat videodemonstration av kontrollpanelen publicerad på ett profilerat cybercriminalforum av skadlig kods författare föreslår att tusentals betalkort utfärdade av USA banker inklusive Chase, Capital One, Citibank, Union Bank of California och Nordstrom Bank har redan äventyras.

Group-IB har identifierat live command and control-servern och har anmält de berörda bankerna, VISA och amerikanska brottsbekämpande organ om hotet, sade Komarov.

BlackPOS infekterar datorer som kör Windows som ingår i POS-system och har kortläsare kopplade till dem. Dessa datorer finns generellt under automatiserade Internet-skanningar och är smittade eftersom de har oförändrade sårbarheter i operativsystemet eller använder svaga uppgifter om fjärradministration, sa Komarov. I vissa sällsynta fall används malware också med hjälp av insiders, sade han.

När den installerats på ett POS-system identifierar malware körprocessen i samband med kreditkortsläsaren och stjäl betalningskortet Spår 1 och Spår 2-data från dess minne. Detta är informationen som lagras på magnetkortet på betalkort och kan senare användas för att klona dem.

Till skillnad från en annan POS-skadlig kod som heter vSkimmer, som nyligen upptäcktes, har BlackPOS ingen metod för extra datautvinning, konstaterade Komarov. Den infångade informationen laddas upp till en fjärrserver via FTP, säger han.

Skadeståndarens författare glömde att dölja ett aktivt webbläsarfönster där han loggades in på Vkontakte - en social nätverkssida som är populär i rysktalande länder - vid inspelning den privata demonstrationsvideoen. Detta gjorde det möjligt för CERT-GIB-forskarna att samla mer information om honom och hans medarbetare, sade Komarov.

BlackPOS-författaren använder online-aliaset "Richard Wagner" på Vkontakte och är administratör för en social nätverkskoncern vars medlemmar är kopplade till den anonyma ryska grenen. Grupp-IB-forskarna bestämde att medlemmarna i denna grupp är under 23 år och säljer DDoS-tjänster (distribuerad benägenhet) med priser som börjar vid 2 USD per timme.

Företagen bör begränsa fjärråtkomst till sina POS-system till en begränsad uppsättning tillförlitliga IP-adresser (Internet Protocol) och bör se till att alla säkerhetsfläckar är installerade för att programvaran körs på dem, säger Komarov. Alla åtgärder som utförs på sådana system bör övervakas, sa han.