سرقت اطلاعاتی بیش از ۱۶۷هزار کارت بانکی با ۲ بدافزار PoS

به گزارش پایگاه خبری بانکداری الکترونیک ،یک شرکت امنیت سایبری دو بدافزار سرقت اطلاعات از کارت های بانکی خرید از پایانه های پرداخت فروش PoS کشف کرد. محققان سرور کنترل بدافزار POS به نام MajikPOS را شناسایی کردند. پیکربندی ضعیف سرور به کارشناسان اجازه داد تا فعالیت آن را بررسی کنند و کشف کردند که از این بدافزار به عنوان سرور کنترل برای سایر بدافزارهای POS به نام Treasure Hunter نیز استفاده می شود.

بدافزار MajikPOS PoS اولین بار توسط Trend Micro در اوایل سال 2017 شناسایی شد، زمانی که از آن برای هدف قرار دادن مشاغل در آمریکای شمالی و کانادا استفاده شد. این بدافزار با استفاده از “فریم ورک دات نت” نوشته شده است و از کانال ارتباطی رمزگذاری شده برای جلوگیری از شناسایی استفاده می کند.

کلاهبرداران از تکنیک های پیچیده برای به خطر انداختن اهداف استفاده نکردند، آنها توانستند از طریق حملات brute-force به سرویس های محاسبات شبکه مجازی (VNC) و پروتکل دسکتاپ از راه دور (RDP) به سیستم های PoS با گذرواژه هایی که به راحتی قابل حدس زدن هستند دسترسی پیدا کنند.

در برخی موارد، مجرمان سایبری از طریق خط فرمان پروتکل FTP (انتقال فایل) یا نسخه اصلاح شده Ammyy Admin برای نصب بدافزار MajikPOS استفاده کردند. در 18 جولای 2019،  سورس MajikPOS (معروف به MagicPOS) برای فروش در یک انجمن جرایم سایبری در فضای مجازی بفروش گذاشته شده بود. اطلاعات کشف شده توسط کارشناسان امنیت سایبری در زیرساخت C2 نشان می دهد که مهاجمان در ابتدا از گونه ای بدافزار بنام Treasure Hunter استفاده کرده بودند، اما بعداً بدافزار پیشرفته MajikPOS را انتخاب کردند.

شرکت امنیتی گروپ ای بی گزارش داد که کد منبع Treasure Hunter نیز در یک فروم زیرزمینی روسی زبان سطح بالا فاش شده است. این شرکت امنیتی تخمین زد که درآمد بالقوه از فروش داده های کارت اعتباری سرقت شده در بازارهای زیرزمینی به 3340 هزار دلار می رسد.

پس از تجزیه و تحلیل زیرساخت های مخرب، محققان اطلاعاتی که از دستگاه های آلوده و کارت های اعتباری به خطر افتاده بود را بازیابی کردند. حداقل از فوریه 2021، اپراتورها بیش از 167000 سوابق پرداخت (تا 8 سپتامبر 2022)، عمدتاً از ایالات متحده را به سرقت برده اند.

محققان خاطرنشان کردند که این بدافزار از سپتامبر 2022 همچنان فعال است. تحقیقات نشان داد که پنل MajikPOS حاوی داده های تخلیه حدود 77400 کارت و پنل Treasure Hunter حاوی حدود 90هزار خالی شده است. بیشتر کارت‌های سرقت شده از پنل بدافزار MajikPOS PoS توسط بانک‌های ایالات متحده صادر شده‌اند، زیرا بیشتر پایانه‌های POS آلوده در ایالات متحده واقع شده‌اند.

بدافزار POS در سال‌های اخیر به دلیل برخی محدودیت‌ها و اقدامات امنیتی اعمال‌شده در صنعت پرداخت کارت، جذابیت کمتری برای مهاجمان پیدا کرده است. با این وجود، همانطور که تحقیقات ما نشان می‌دهد، همچنان یک تهدید مهم برای صنعت پرداخت و   کسب‌وکارهای است که هنوز آخرین شیوه‌های امنیتی را اجرا نکرده‌اند.

اگرچه از خود اطلاعات سرقت شده را نمی توان برای خریدهای آنلاین استفاده کرد ولی کلاهبردارانی که چنین داده هایی را خریداری می کنند می توانند یک  کپی از کارت ایجاد کنند و اطلاعات را در کارت‌های شبیه‌سازی شده وارد کنند و از دستگاه‌های خودپرداز پول برداشت کنند یا از کارت خوان فروشگاه ها خرید حضوری داشته باشند.

منبع: پلیس فتا