Group-IB Botnet İzleme Ekibi’nin yeni araştırmasına göre siber suçlular, hassas bilgileri çalmak için kredi kartı ödeme terminallerini giderek daha fazla hedef alıyor.
Ekibin başkanı Nikolay Shelekhov ve şirketin analisti Said Khamchiev, siber suçluların ele geçirilen 212 cihazdan 167.000’den fazla ödeme kaydını çalmak için bir PoS (satış noktası) kötü amaçlı yazılımını nasıl kullandıklarına ilişkin ayrıntıları paylaştı. Etkilenen kullanıcıların neredeyse tamamı ABD’de bulunuyordu.
Kampanya Nisan 2022’de keşfedildi, ancak araştırmacılar kampanyanın Şubat 2021 ile 8 Eylül 2022 arasında gerçekleştiğine inanıyor.
Araştırmacılar, PoS kötü amaçlı yazılımı MajikPOS için kötü yapılandırılmış bir C2 sunucusunu suçladı. Yapılandırma, sunucuyu değerlendirmelerine izin verdi. Sunucunun, Treasure Hunter olarak tanımlanan benzersiz bir POS kötü amaçlı yazılım türü için ayrı bir C2 yönetim paneli barındırdığını keşfettiler (ilk olarak 2014’te tespit edildi). Bu kötü amaçlı yazılım, güvenliği ihlal edilmiş kart verilerini de toplar.
Bilginize, MajikPOS ve Treasure Hunter kötü amaçlı yazılımları Windows POS terminallerine bulaşıyor. Bir mağazaya bulaşmak için MajikPOS (ilk olarak 2017’de tespit edildi), ağı açık veya düşük güvenlikli RDP ve VNC uzak masaüstü hizmetleri için tarar. Ardından ağa kaba kuvvetler giriyor veya sistemlerin kimlik bilgilerine erişim satın alıyor.
Her iki kötü amaçlı yazılım da cihazları tarayabilir ve cihaz kart verilerini okurken karttan yararlanmaya çalışabilir. Kötü amaçlı yazılım daha sonra bilgileri düz metin olarak bellekte saklar. Ayrıca, Treasure Hunter, bir alışverişçinin banka kartından yeni taranmış manyetik şerit verilerini bulmak için kasadaki tüm çalışan işlemlerin belleğini gözden geçiren RAM kazıma işlemi gerçekleştirebilir. Bunun tersine, MajikPOS virüslü bilgisayarları kart detayları için tarayabilir. Bilgiler daha sonra saldırganın C2 sunucusuna gönderilir.
Bir ay süren araştırmaları sırasında Group-IB, MajikPOS’tan yaklaşık 77.400 kart dökümü ve Treasure Hunter panellerinden 90.000 kart dökümü değerlendirdi. MajikPOS’lu kartların yaklaşık 75.455’i veya %97’si ABD bankaları tarafından verildi ve geri kalanı dünya çapındaki bankalardandı. Treasure Hunter ile ilgili olarak, ABD’de %96 veya 86.411 kart basıldı. Ayrıca ABD’de on bir kurban firma tespit ettiler.
Daha fazla araştırma, siber suçluların 167.000’den fazla kredi kartının ayrıntılarını çalmak için iki POS kötü amaçlı yazılım türü kullandığını ortaya çıkardı. Tüm veriler ödeme terminallerinden çalındı. Araştırmacılar, Treasure Hunter ve MAjikPOS kötü amaçlı yazılım türlerini çalıştıran arka uç C2 sunucusunun hala aktif olduğunu ve kurbanların sayısının sürekli arttığını kaydetti.
Saldırıyı keşfettikten sonra, Group-IB kolluk kuvvetlerini bilgilendirdi ve ABD merkezli bir tehdit paylaşım ajansı da bilgilendirildi. onların içinde Blog yazısıGroup-IB ayrıca şunları da açıkladı:
“Group-IB araştırmacılarının tespit edebildiği, güvenliği ihlal edilmiş kartlar, POS terminalleri ve kurbanlar hakkındaki bilgiler, özel sektör, akademi ve yasa uygulamalarını bir araya getiren ABD merkezli kar amacı gütmeyen bir ittifakla keşfedildikten sonra paylaşıldı.”
Grup-IB
Bu kadar çok sayıda kredi kartının verilerini kimin çaldığı ve verilerin satılıp satılmadığı ya da kullanıldığı belli değil. Ancak araştırmacılar, çalınan verilerin şu durumlarda 3,3 milyon doların üzerine çıkabileceğinden emin. yeraltı pazaryerlerinde satılır.
İlgili Mesajlar
- 4.000 ElasticSearch sunucusunda PoS kötü amaçlı yazılım barındırdığı bulundu
- 22 kişi kötü amaçlı yazılım ve kredi kartı dolandırıcılığı suçlamasıyla suçlandı
- 158.000 Kanada, ABD kredi kartı verisi satan tehdit aktörü
- Karanlık ağda büyük çalıntı kredi kartı ticareti dolandırıcılığı kesintiye uğradı
- Prilex ATM Kötü Amaçlı Yazılımı, Chip-and-Pin Ödeme Kartlarını Klonlayacak Şekilde Değiştirildi