Tin tặc đã sử dụng hai phần mềm độc hại PoS để đánh cắp thông tin chi tiết của hơn 167.000 thẻ tín dụng

 

 Hai biến thể phần mềm độc hại tại điểm bán hàng (PoS) đã được một tác nhân đe dọa sử dụng để đánh cắp thông tin liên quan đến hơn 167.000 thẻ tín dụng từ các thiết bị đầu cuối thanh toán.

Theo công ty an ninh mạng Group-IB có trụ sở tại Singapore, các bãi chứa dữ liệu bị đánh cắp có thể thu về cho các nhà khai thác tới 3,34 triệu USD bằng cách bán chúng trên các diễn đàn ngầm.

Trong khi một tỷ lệ đáng kể các cuộc tấn công nhằm thu thập dữ liệu thanh toán dựa vào trình đánh hơi JavaScript (hay còn gọi là trình đọc lướt web) được chèn lén lút trên các trang web thương mại điện tử, phần mềm độc hại PoS tiếp tục là mối đe dọa đang diễn ra, nếu ít phổ biến hơn.

Chỉ mới tháng trước, Kaspersky đã trình bày chi tiết các chiến thuật mới được áp dụng bởi một tác nhân đe dọa người Brazil được gọi là Prilex để ăn cắp tiền bằng các giao dịch gian lận.

"Hầu hết tất cả các chủng phần mềm độc hại PoS đều có chức năng trích xuất kết xuất thẻ tương tự, nhưng các phương pháp khác nhau để duy trì sự bền bỉ trên các thiết bị bị nhiễm, lọc và xử lý dữ liệu", các nhà nghiên cứu Nikolay Shelekhov và Said Khamchiev cho biết.

Treasure Hunter và người kế nhiệm tiên tiến MajikPOS của nó giống nhau ở chỗ chúng được thiết kế để vũ phu xâm nhập vào thiết bị đầu cuối PoS hoặc mua quyền truy cập ban đầu từ các bên khác được gọi là nhà môi giới truy cập ban đầu, sau đó trích xuất thông tin thẻ thanh toán từ bộ nhớ của hệ thống và chuyển tiếp nó đến một máy chủ từ xa.

Điều đáng chú ý là MajikPOS lần đầu tiên được đưa ra ánh sáng vào đầu năm 2017, chủ yếu ảnh hưởng đến các doanh nghiệp trên khắp Hoa Kỳ và Canada. Mặt khác, Treasure Hunter (hay còn gọi là TREASUREHUNT), đã được ghi lại từ năm 2014, với mã nguồn của nó bị rò rỉ vào năm 2018.

Group-IB, công ty xác định các máy chủ chỉ huy và kiểm soát (C2) được liên kết với hai phần mềm độc hại PoS, cho biết 77,428 và 90,024 hồ sơ thanh toán duy nhất đã bị MajikPOS và Treasure Hunter xâm phạm trong khoảng thời gian từ tháng 2 đến tháng 9 năm 2022.

Hầu hết các thẻ bị đánh cắp được cho là do các ngân hàng ở Mỹ, Puerto Rico, Peru, Panama, Anh, Canada, Pháp, Ba Lan, Na Uy và Costa Rica phát hành.

Danh tính của các tác nhân tội phạm đằng sau kế hoạch này vẫn chưa được biết và hiện tại vẫn chưa rõ liệu dữ liệu bị trộm cắp đã được nhóm này bán để lấy lại lợi nhuận bằng tiền hay chưa.

Điều này có thể gây ra hậu quả nghiêm trọng nếu các ngân hàng phát hành thẻ không thực thi các cơ chế bảo vệ đầy đủ, tạo điều kiện hiệu quả cho những kẻ xấu sử dụng thẻ nhân bản để rút tiền bất hợp pháp và thực hiện các giao dịch trái phép.

"Phần mềm độc hại PoS đã trở nên kém hấp dẫn hơn đối với các tác nhân đe dọa trong những năm gần đây do một số hạn chế của nó và các biện pháp bảo mật được thực hiện trong ngành thanh toán thẻ," các nhà nghiên cứu cho biết.

"Tuy nhiên, [...] Nó vẫn là một mối đe dọa đáng kể đối với toàn bộ ngành thanh toán và đối với các doanh nghiệp riêng biệt chưa thực hiện các phương pháp bảo mật mới nhất. Vẫn còn quá sớm để loại bỏ phần mềm độc hại PoS".

Mới hơn Cũ hơn