BlackPOS라는 새로운 POS (point-of-sale) 멀웨어 발견

러시아에 본사를 둔 보안 및 컴퓨터 법의학 회사 인 Group-IB의 연구원에 따르면, 미국 은행의 고객에게 속한 수천 개의 지불 카드를 손상시키는 데 이미 판매 시스템 (POS)이 사용되었습니다.

POS 멀웨어는 새로운 유형이 아닙니다 그룹웨어 IB의 연구원은 지난 6 개월 동안 5 가지 POS 악성 코드 위협을 확인했다고 Komarov는 전했다. 그룹웨어 IB의 국제 프로젝트 책임자 인 안드레이 코마 로프 (Andrey Komarov)는 이메일을 통해 그룹 IB의 국제 프로젝트 책임자 인 사이버 범죄자들에 의해 점점 더 많이 사용되고 있다고 말했다.. 그러나 이번 달 초에 발견 된 가장 최근의 사건은 광범위하게 조사되어 지휘 통제 서버의 발견과 그 뒤에있는 사이버 범죄 조직의 확인에 이르게된다고 그는 말했다.

: Windows PC에서 악성 코드를 제거하는 방법]

Malware는 Internet Underground 포럼에 "Ree의 Dump Memory Grabber"라는 다소 일반적인 이름으로 광고되고 있지만 Group-IB의 컴퓨터 응급 대응 팀 (CERT-GIB)는 "BlackPOS"라는 이름을 사용하는 악성 프로그램과 관련된 관리 패널을 보았습니다.

멀웨어의 저자에 의해 유명한 사이버 범죄 포럼에 게시 된 제어판의 비공개 비디오 데모에서는 미국에서 발행 한 수천 개의 지불 카드 Bank, Chase, Capital One, Citibank, Union Bank of California 및 Nordstrom Bank를 포함한 은행들은 이미 해킹당했습니다. Group-IB는 실제 명령 및 통제 서버를 식별하고 영향을받은 은행, VISA 및 미국의 법 집행 기관에 대한 정보를 제공한다고 Komarov는 말했습니다.

BlackPOS는 POS 시스템의 일부인 Windows를 실행하는 컴퓨터에 감염되어 카드 판독기가 부착되어 있습니다. 이 컴퓨터는 일반적으로 자동화 된 인터넷 검사 중에 발견되며 OS에 패치되지 않은 취약성이 있거나 취약한 원격 관리 자격 증명을 사용하기 때문에 감염됩니다. 드문 경우지만 내부자의 도움을 받아 악성 코드가 배포됩니다.

일단 POS 시스템에 설치되면 악성 프로그램은 신용 카드 판독기와 관련된 실행 프로세스를 식별하고 지불 카드 트랙 1 및 트랙 2 데이터를 훔칩니다 그것의 기억에서. 이 정보는 마그네틱 카드 결제 카드에 저장되어 나중에 복제 할 수 있습니다.

최근 발견 된 vSkimmer라는 다른 POS 멀웨어와 달리 BlackPOS에는 오프라인 데이터 추출 방법이 없습니다. 캡처 된 정보는 FTP를 통해 원격 서버에 업로드됩니다.

악성 코드 작성자는 러시아어 사용 국가에서 인기있는 소셜 네트워킹 사이트 인 Vkontakte에 로그인 한 활성 브라우저 창을 숨기는 것을 잊어 버렸습니다 개인 데모 비디오. 이를 통해 CERT-GIB 연구원은 자신과 그의 동료에 대한 더 많은 정보를 수집 할 수있게되었다고 Komarov는 말했습니다.

BlackPOS 저자는 Vkontakte의 온라인 별칭 "Richard Wagner"를 사용하며 소셜 네트워킹 그룹의 관리자입니다. 익명의 러시아 지부. Group-IB 연구원은이 그룹의 구성원이 23 세 미만이며 DDoS (분산 서비스 거부) 서비스를 시간당 미화 2 달러부터 시작한다고 결정했습니다.

기업은 POS 시스템에 대한 원격 액세스를 제한된 수의 신뢰할 수있는 IP (인터넷 프로토콜) 주소를 사용하고 있으며 모든 보안 패치가 실행중인 소프트웨어에 설치되어 있는지 확인해야한다고 Komarov는 전했다. 그러한 시스템에서 수행되는 모든 행동은 모니터링되어야한다고 그는 말했다.