Dua PoS Malware digunakan untuk mencuri data dari lebih dari 167.000 kartu kredit

idNSA.id - Para peneliti melaporkan bahwa pelaku ancaman menggunakan 2 varian malware PoS untuk mencuri informasi lebih dari 167.000 kartu kredit.

Perusahaan cybersecurity Group-IB menemukan dua malware PoS untuk mencuri data yang terkait dengan lebih dari 167.000 kartu kredit dari terminal pembayaran point-of-sale.

Pada 19 April 2022, peneliti Grup-IB mengidentifikasi server C2 dari malware POS yang disebut  MajikPOS. Konfigurasi server yang buruk memungkinkan para ahli untuk menyelidiki aktivitas operatornya dan menemukan bahwa itu juga digunakan sebagai C2 untuk malware POS lain yang disebut Treasure Hunter.

Malware MajikPOS PoS pertama kali ditemukan oleh Trend Micro pada awal 2017, ketika digunakan untuk menargetkan bisnis di Amerika Utara dan Kanada.

MajikPOS ditulis menggunakan ".NET framework" dan menggunakan saluran komunikasi terenkripsi untuk menghindari deteksi.

Penjahat tidak menggunakan teknik canggih untuk mengkompromikan target, mereka dapat memperoleh akses ke sistem PoS melalui serangan brute force pada layanan Virtual Network Computing (VNC) dan Remote Desktop Protocol (RDP) yang dilindungi oleh kata sandi yang mudah ditebak.

Dalam beberapa kasus, penjahat cyber menggunakan FTP baris perintah (File Transfer Protocol) atau versi modifikasi dari Ammyy Admin untuk menginstal malware MajikPOS.

Pada tanggal 18 Juli 2019, kode sumber untuk MajikPOS (alias MagicPOS) ditawarkan untuk dijual di forum kejahatan dunia maya “exploit[.]in” oleh pengguna  cartonash.

Artefak yang ditemukan oleh pakar Group-IB pada infrastruktur C2 menunjukkan bahwa operator malware pada awalnya menggunakan varian Treasure Hunter, tetapi kemudian memilih malware canggih MajikPOS.

Treasure Hunter adalah malware POS yang pertama kali ditemukan pada tahun 2014, ia mendukung kemampuan pengikisan RAM dan fase rantai pembunuhan awalnya mirip dengan MajikPOS.

Group-IB melaporkan bahwa kode sumber Treasure Hunter  juga bocor di forum bawah tanah berbahasa Rusia tingkat atas.

Group-IB memperkirakan bahwa potensi pendapatan dari penjualan data kartu kredit curian di pasar bawah tanah mencapai $3.340.000.

“Setelah menganalisis infrastruktur berbahaya, peneliti Grup-IB mengambil informasi tentang perangkat yang terinfeksi dan kartu kredit yang dikompromikan sebagai akibat dari kampanye ini. Setidaknya sejak Februari 2021, operator telah mencuri lebih dari  167.000  catatan pembayaran (per 8 September 2022), terutama dari AS.” membaca laporan yang diterbitkan oleh para ahli. “Menurut perkiraan Grup-IB, operator dapat menghasilkan sebanyak  $3.340.000  jika mereka memutuskan untuk menjual dump kartu yang dikompromikan di forum bawah tanah.”

Para peneliti menunjukkan bahwa malware tetap aktif pada September 2022.

Penyelidikan mengungkapkan bahwa panel MajikPOS berisi data dari sekitar  77.400  dump kartu unik dan panel Treasure Hunter berisi sekitar  90.000 dump kartu.

Sebagian besar kartu curian dari panel malware MajikPOS PoS dikeluarkan oleh bank AS karena sebagian besar terminal POS yang terinfeksi berlokasi di AS.

“Malware POS menjadi kurang menarik bagi pelaku ancaman dalam beberapa tahun terakhir karena beberapa keterbatasannya dan langkah-langkah keamanan yang diterapkan dalam industri pembayaran kartu. Namun demikian, seperti yang ditunjukkan oleh penelitian kami, ini tetap menjadi ancaman signifikan bagi industri pembayaran secara keseluruhan dan bagi bisnis terpisah yang belum menerapkan praktik keamanan terbaru. Masih terlalu dini untuk menghapus malware POS.” menyimpulkan laporan.

“Meskipun dump itu sendiri tidak dapat digunakan untuk melakukan pembelian online, penipu yang membeli data tersebut dapat mencairkan catatan curian. Jika otoritas penerbit kartu gagal mendeteksi pelanggaran dengan segera, penjahat dapat membuat kartu kloning (“plastik putih”) dan menarik uang dari ATM atau menggunakan kartu kloning untuk pembelian langsung secara ilegal.”