ロシアに拠点を置くセキュリティおよびコンピュータフォレンジック企業であるGroup-IBの研究者によると、米国銀行の顧客に属する何千ものペイメントカードを妥協するために、すでに販売されているPOSシステムが使用されている。
POSマルウェアは新しいタイプではないグループBの国際プロジェクトの責任者であるアンドレイ・コマロフ氏は、電子メールで、サイバー犯罪者がますます利用していると話している(
)。グループBの研究者は過去6ヶ月間に5種類のPOSマルウェア脅威。しかし、今月初めに発見された最新のものが広範に調査され、コマンド・アンド・コントロール・サーバーの発見とその後ろのサイバー犯罪団体の特定につながった、と彼は述べている[
] :Windows PCからマルウェアを削除する方法]インターネットアンダーグラウンドフォーラムでマルウェアが「Ree by Dump Memory Grabber」の略称で宣伝されていますが、グループIBのコンピュータ緊急対応チーム(CERT-GIB )は、「BlackPOS」という名前を使用したマルウェアに関連した管理パネルを見た。
悪意のある人による著名なサイバー犯罪フォーラムで公開されたコントロールパネルの非公開ビデオによるデモでは、 Group-IBは、ライブ・コマンド・アンド・コントロール・サーバーを特定し、影響を受けた銀行に通知しています。これには、Chase、Capital One、Citibank、Union Bank of CaliforniaおよびNordstrom Bankなどの銀行が既に侵害されています。 VISAと米国の法執行機関によると、脅威について、Komrovは述べている。
BlackPOSは、POSシステムの一部であるWindowsを実行するコンピュータに感染し、カードリーダーを添付している。これらのコンピュータは一般に自動インターネットスキャン中に検出され、OSに脆弱性が存在しないか、弱いリモート管理資格情報を使用しているために感染している、とKomarov氏は述べています。また、POSシステムにインストールされたマルウェアは、クレジットカードリーダーに関連付けられた実行プロセスを特定し、支払いカードのトラック1とトラック2のデータを盗むという稀なケースもありますその記憶から。
最近発見されたvSkimmerとは違うPOSマルウェアとは異なり、BlackPOSにはオフラインのデータ抽出方法がないとKomarov氏は述べています。捕獲された情報はFTP経由でリモートサーバにアップロードされる、と彼は語った。マルウェアの作者は、ロシア語圏で人気のあるソーシャルネットワーキングサイトであるVkontakteにログインしているブラウザウィンドウを隠すのを忘れていたプライベートデモビデオ。これにより、CERT-GIB研究者は、彼と彼の同僚についてのより多くの情報を収集することができました、とKomarovは述べています。
BlackPOSの著者はVkontakteのオンラインエイリアス "Richard Wagner"を使用し、匿名のロシア支部。グループIBの研究者は、このグループのメンバーは23歳未満であると判断し、DDoS(分散サービス拒否)サービスを時給2米ドルから販売しています。
企業はPOSシステムへのリモートアクセスを制限する必要があります。 Komarov氏は、信頼できるIP(Internet Protocol)アドレスの限定されたセットであり、すべてのセキュリティパッチがインストールされていることを確認する必要があります。このようなシステムで実行されるすべての措置は監視されなければならない、と彼は述べた。