Los investigadores encuentran un nuevo malware en el punto de venta llamado BlackPOS

Una nueva pieza de malware que infecta el punto de Los sistemas de venta (POS) ya se han utilizado para comprometer miles de tarjetas de pago pertenecientes a clientes de bancos estadounidenses, según investigadores de Group-IB, una compañía de seguridad y informática forense con sede en Rusia.

El malware POS no es un nuevo tipo de amenaza, pero es cada vez más utilizado por los cibercriminales, dijo Andrey Komarov, jefe de proyectos internacionales en Group-IB, el miércoles por correo electrónico.

Komarov dijo que los investigadores del Grupo IB han identificado cinco amenazas diferentes de malware POS en los últimos seis meses. Sin embargo, el más reciente, que se encontró a principios de este mes, ha sido investigado exhaustivamente, lo que ha llevado al descubrimiento de un servidor de comando y control y la identificación de la pandilla cibercriminal detrás de él, dijo.

[Leer más: Cómo eliminar el malware de su PC con Windows]

El malware se anuncia en foros clandestinos de Internet bajo el nombre bastante genérico de "Dump Memory Grabber by Ree", pero los investigadores del equipo de respuesta de emergencia del equipo IB (CERT-GIB) han visto un panel de administración asociado con el malware que usaba el nombre "BlackPOS".

Una demostración de video privada del panel de control publicado en un cibercriminal de alto perfil por el autor del malware sugiere que miles de tarjetas de pago emitidas por EE.UU. bancos como Chase, Capital One, Citibank, Union Bank of California y Nordstrom Bank ya se han visto comprometidos.

Group-IB ha identificado el servidor de comando y control en vivo y ha notificado a los bancos afectados, Las agencias de aplicación de la ley de VISA y los EE. UU. Sobre la amenaza, dijo Komarov.

BlackPOS infecta las computadoras con Windows que son parte de los sistemas POS y tienen lectores de tarjetas conectados a ellas. En general, estas computadoras se encuentran durante las exploraciones de Internet automatizadas y están infectadas porque tienen vulnerabilidades sin parches en el sistema operativo o usan credenciales débiles de administración remota, dijo Komarov. En algunos casos raros, el malware también se implementa con ayuda de expertos, dijo.

Una vez instalado en un sistema POS, el malware identifica el proceso de ejecución asociado con el lector de tarjetas de crédito y roba los datos Track 1 y Track 2 de la tarjeta de pago de su memoria. Esta es la información almacenada en la banda magnética de tarjetas de pago y luego puede usarse para clonarlas.

A diferencia de un malware POS diferente llamado vSkimmer que se descubrió recientemente, BlackPOS no tiene un método de extracción de datos fuera de línea, dijo Komarov. La información capturada se carga en un servidor remoto a través de FTP, dijo.

El autor del malware olvidó ocultar una ventana activa del navegador donde se conectó a Vkontakte, un sitio de redes sociales popular en países de habla rusa, cuando grababa el video de demostración privado. Esto permitió a los investigadores de CERT-GIB obtener más información sobre él y sus asociados, dijo Komarov.

El autor de BlackPOS usa el alias en línea "Richard Wagner" en Vkontakte y es el administrador de un grupo de redes sociales cuyos miembros están vinculados a la rama rusa de Anonymous. Los investigadores del Grupo IB determinaron que los miembros de este grupo tienen menos de 23 años y están vendiendo servicios DDoS (denegación de servicio distribuida) con precios que comienzan en US $ 2 por hora.

Las compañías deben restringir el acceso remoto a sus sistemas POS. un conjunto limitado de direcciones confiables de IP (Protocolo de Internet) y debe asegurarse de que todos los parches de seguridad estén instalados para el software que se ejecuta en ellos, dijo Komarov. Todas las acciones realizadas en tales sistemas deberían ser monitoreadas, dijo.