الباحثون يعثرون على برامج ضارة جديدة للبيع تسمى BlackPOS

قطعة جديدة من البرامج الضارة التي تصيب نقطة من لقد تم استخدام أنظمة البيع (POS) بالفعل للتنازل عن آلاف بطاقات الدفع الخاصة بعملاء البنوك الأمريكية ، وفقًا لباحثين من Group-IB ، وهي شركة جنائية للأمن والحاسوب مقرها في روسيا.

POS malware is not new type من التهديد ، ولكن استخدامها على نحو متزايد من قبل المجرمين الإلكترونيين ، وقال اندريه كوماروف ، رئيس المشاريع الدولية في المجموعة- IB ، يوم الأربعاء عبر البريد الإلكتروني.

وقال كوماروف أن الباحثين Group-IB قد حددوا خمسة تهديدات مختلفة لبرامج POS في الأشهر الستة الماضية. ومع ذلك ، فإن آخرها ، الذي تم العثور عليه في وقت سابق من هذا الشهر ، تم التحقيق فيه على نطاق واسع ، مما أدى إلى اكتشاف خادم القيادة والتحكم وتحديد هوية عصابة الجريمة الإلكترونية خلفها ، حسبما قال.

[اقرأ المزيد: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام Windows لديك

يتم الإعلان عن البرامج الضارة في منتديات الإنترنت تحت الأرض تحت اسم عام بدلاً من "Dump Memory Grabber by Ree" ، ولكن الباحثين من فريق الاستجابة للطوارئ الحاسوبية التابع لـ Group-IB (CERT-GIB لقد شاهدت لوحة إدارية مرتبطة بالبرامج الضارة التي استخدمت اسم "BlackPOS".

يوضح مقطع فيديو خاص بلوحة التحكم المنشورة في منتدى تجريبي للمواقع الإلكترونية من قبل مؤلف البرامج الضارة أن الآلاف من بطاقات الدفع التي تصدرها الولايات المتحدة البنوك مثل Chase و Capital One و Citibank و Union Bank of California و Nordstrom Bank قد تم اختراقها بالفعل.

لقد حدد Group-IB الخادم المباشر للقيادة والتحكم وأبلغ البنوك المتأثرة بذلك ، وقال كوماروف إن وكالات إنفاذ القانون فيزا والولايات المتحدة بشأن التهديد.

BlackPOS تصيب أجهزة الكمبيوتر التي تعمل بنظام ويندوز والتي تعد جزءًا من أنظمة نقاط البيع ولها قارئات بطاقات مرفقة بها. وقال كوماروف إنه يتم العثور على هذه الحواسيب بشكل عام خلال عمليات المسح التلقائي للإنترنت وتصاب بالعدوى نظرًا لوجود ثغرات غير مرغوب فيها في نظام التشغيل أو استخدام بيانات اعتماد ضعيفة للإدارة عن بُعد. في بعض الحالات النادرة ، يتم نشر البرامج الضارة بمساعدة من المطلعين.

بمجرد تثبيته على نظام POS ، فإن البرنامج الضار يعرّف عملية التشغيل المرتبطة بقارئ بطاقة الائتمان ويسرق بطاقة الدفع 1 وبيانات المسار 2. من ذاكرتها. هذه هي المعلومات المخزنة على الشريط المغناطيسي لبطاقات الدفع ويمكن استخدامها فيما بعد لاستنساخها.

على عكس البرامج الخبيثة POS المختلفة المسماة vSkimmer التي تم اكتشافها مؤخرًا ، لا تمتلك BlackPOS طريقة استخلاص البيانات دون اتصال ، كما قال كوماروف. وقال إن المعلومات التي تم التقاطها يتم تحميلها إلى خادم بعيد عن طريق بروتوكول FTP.

نسيت نسيبة البرمجيات الخبيثة إخفاء نافذة متصفح نشطة حيث تم تسجيله في فكونتاكتي - وهو موقع للتواصل الاجتماعي شائع في البلدان الناطقة بالروسية - عند تسجيله الفيديو مظاهرة خاصة. وقد سمح ذلك لباحثي CERT-GIB بجمع مزيد من المعلومات حوله وعن شركائه ، كما قال كوماروف.

يستخدم مؤلف BlackPOS الاسم المستعار على الإنترنت "Richard Wagner" في فكونتاكتي وهو مسؤول مجموعة الشبكات الاجتماعية التي يرتبط أعضاؤها بـ الفرع الروسي من مجهول. قرر الباحثون في المجموعة- IB أن أعضاء هذه المجموعة أقل من 23 عامًا وأنهم يبيعون خدمات DDoS (رفض الخدمة الموزعة) بأسعار تبدأ من 2 دولار أمريكي في الساعة.

يجب على الشركات تقييد الوصول عن بُعد إلى أنظمة POS الخاصة بهم. مجموعة محدودة من عناوين بروتوكول الإنترنت الموثوقة (بروتوكول الإنترنت) الموثوقة وينبغي التأكد من تثبيت جميع بقع الأمن للبرامج التي تعمل عليها ، على حد قول كوماروف. وقال إنه يجب مراقبة جميع الإجراءات التي تتم على مثل هذه الأنظمة.