info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

استفاده مجرمان سایبری از دو بدافزار PoS و سرقت اطلاعات بیش از ۱۶۷هزار کارت بانکی

خلاصه: دو نوع بدافزار PoS یا به عبارتی Ponit of sale باعث سرقت اطلاعات ۱۶۷ هزار کارت اعتباری از پایانه‌های پرداخت شده است.

به نقل از شرکت Group-IB که یکی شرکت‌های امنیت سایبری مستقر در سنگاپور است، اطلاعات به سرقت رفته در انجمن‌های غیرقانونی تا بیش از ۳.۳ میلیون دلار برای اپراتورها درآمد داشته است. بخش قابل‌توجهی از حملات، با هدف جمع‌آوری داده‌های مربوط به پرداخت‌ها، به جاوا اسکریپت‌ها (معروف به اسکیمرهای وب) که به‌طور مخفیانه در وب‌سایت‌های تجارت الکترونیک درج می‌شوند، متکی هستند. به همین علت بدافزار PoS همچنان تهدیدی مداوم، باقی می‌ماند. ماه گذشته، در گزارشی کسپرسکی تکنیک‌های جدیدی را که Prilex برای سرقت پول از طریق تراکنش‌های جعلی اتخاذ کرده بود، شرح داد.

دو بدافزار Treasure Hunter و MajikPOS بدین جهت شبیه هستند که به روش Brute-force وارد ترمینال PoS می‌شوند یا به صورت پیوسته، دسترسی اولیه را از کسانی که در سیستم شناخته شده هستند، خریداری می‌کن. سپس اطلاعات کارت را از حافظه سیستم استخراج می‌کند و به سرور از راه دور ارسال می‌کند.

شایان ذکر است که MajikPOS اولین بار در اوایل سال ۲۰۱۷ ظاهر شد و عمدتاً بر مشاغل در سراسر ایالات متحده و کانادا تأثیر گذاشت. از سوی دیگر، Treasure Hunter (با نام مستعار TREASUREHUNT)، از سال ۲۰۱۴ ثبت شده است و سورس کد آن در سال ۲۰۱۸ لو رفت.

Group-IB که سرورهای فرمان و کنترل (C2) مرتبط با دو بدافزار PoS را شناسایی کرد، اشاره کرده است که بیش از ۷۷ هزار سوابق پرداخت بین فوریه و سپتامبر ۲۰۲۲ توسط MajikPOS به خطر افتاده است و  همچنین بیش از ۹۰ هزار سوابق پرداخت نیز توسطTreasure Hunter  به خطر افتاده است. به نظر می‌رسد بیشتر کارت‌های به سرقت رفته توسط بانک‌هایی در ایالات متحده، پورتوریکو، پرو، پاناما، بریتانیا، کانادا، فرانسه، لهستان، نروژ و کاستاریکا صادر شده است. هویت مهاجمان پشت این طرح ناشناخته است و در حال حاضر مشخص نیست که آیا داده‌های سرقت شده قبلاً برای منافع پولی توسط این گروه فروخته شده است یا خیر.

اگر بانک‌های صادرکننده کارت، مکانیسم‌های حفاظتی کافی را اعمال نکنند، این اتفاق می‌تواند عواقب شدیدی داشته باشد. مهاجمان را قادر می‌سازد تا از کارت‌های شبیه‌سازی‌شده برای برداشت غیرقانونی وجوه و انجام تراکنش‌های غیرمجاز استفاده کنند. محققان اشاره می‌کنند که بدافزار PoS  در سال‌های اخیر به دلیل برخی محدودیت‌ها و اقدامات امنیتی اعمال‌شده در صنعت پرداخت کارت، جذابیت کمتری برای مهاجمان پیدا کرده است. با این وجود، همچنان یک تهدید مهم برای صنعت پرداخت است. مخصوصا برای مشاغلی که هنوز آخرین شیوه‌های امنیتی را اجرا نکرده‌اند. بنابراین، برای حذف بدافزار PoS زود است و همچنان با ماست.