idNSA.id - Para peneliti melaporkan bahwa pelaku ancaman
menggunakan 2 varian malware PoS untuk mencuri informasi lebih dari 167.000
kartu kredit.
Perusahaan cybersecurity Group-IB menemukan dua malware PoS
untuk mencuri data yang terkait dengan lebih dari 167.000 kartu kredit dari
terminal pembayaran point-of-sale.
Pada 19 April 2022, peneliti Grup-IB mengidentifikasi server
C2 dari malware POS yang disebut
MajikPOS. Konfigurasi server yang buruk memungkinkan para ahli untuk
menyelidiki aktivitas operatornya dan menemukan bahwa itu juga digunakan
sebagai C2 untuk malware POS lain yang disebut Treasure Hunter.
Malware MajikPOS PoS pertama kali ditemukan oleh Trend Micro
pada awal 2017, ketika digunakan untuk menargetkan bisnis di Amerika Utara dan
Kanada.
MajikPOS ditulis menggunakan ".NET framework" dan
menggunakan saluran komunikasi terenkripsi untuk menghindari deteksi.
Penjahat tidak menggunakan teknik canggih untuk
mengkompromikan target, mereka dapat memperoleh akses ke sistem PoS melalui
serangan brute force pada layanan Virtual Network Computing (VNC) dan Remote
Desktop Protocol (RDP) yang dilindungi oleh kata sandi yang mudah ditebak.
Dalam beberapa kasus, penjahat cyber menggunakan FTP baris
perintah (File Transfer Protocol) atau versi modifikasi dari Ammyy Admin untuk
menginstal malware MajikPOS.
Pada tanggal 18 Juli 2019, kode sumber untuk MajikPOS (alias
MagicPOS) ditawarkan untuk dijual di forum kejahatan dunia maya “exploit[.]in”
oleh pengguna cartonash.
Artefak yang ditemukan oleh pakar Group-IB pada infrastruktur
C2 menunjukkan bahwa operator malware pada awalnya menggunakan varian Treasure
Hunter, tetapi kemudian memilih malware canggih MajikPOS.
Treasure Hunter adalah malware POS yang pertama kali
ditemukan pada tahun 2014, ia mendukung kemampuan pengikisan RAM dan fase
rantai pembunuhan awalnya mirip dengan MajikPOS.
Group-IB melaporkan bahwa kode sumber Treasure Hunter juga bocor di forum bawah tanah berbahasa
Rusia tingkat atas.
Group-IB memperkirakan bahwa potensi pendapatan dari
penjualan data kartu kredit curian di pasar bawah tanah mencapai $3.340.000.
“Setelah menganalisis infrastruktur berbahaya, peneliti
Grup-IB mengambil informasi tentang perangkat yang terinfeksi dan kartu kredit
yang dikompromikan sebagai akibat dari kampanye ini. Setidaknya sejak Februari
2021, operator telah mencuri lebih dari
167.000 catatan pembayaran (per 8
September 2022), terutama dari AS.” membaca laporan yang diterbitkan oleh para
ahli. “Menurut perkiraan Grup-IB, operator dapat menghasilkan sebanyak $3.340.000
jika mereka memutuskan untuk menjual dump kartu yang dikompromikan di
forum bawah tanah.”
Para peneliti menunjukkan bahwa malware tetap aktif pada
September 2022.
Penyelidikan mengungkapkan bahwa panel MajikPOS berisi data dari sekitar 77.400 dump kartu unik dan panel Treasure Hunter berisi sekitar 90.000 dump kartu.
Sebagian besar kartu curian dari panel malware MajikPOS PoS
dikeluarkan oleh bank AS karena sebagian besar terminal POS yang terinfeksi
berlokasi di AS.
“Malware POS menjadi kurang menarik bagi pelaku ancaman dalam
beberapa tahun terakhir karena beberapa keterbatasannya dan langkah-langkah
keamanan yang diterapkan dalam industri pembayaran kartu. Namun demikian,
seperti yang ditunjukkan oleh penelitian kami, ini tetap menjadi ancaman
signifikan bagi industri pembayaran secara keseluruhan dan bagi bisnis terpisah
yang belum menerapkan praktik keamanan terbaru. Masih terlalu dini untuk
menghapus malware POS.” menyimpulkan laporan.
“Meskipun dump itu sendiri tidak dapat digunakan untuk
melakukan pembelian online, penipu yang membeli data tersebut dapat mencairkan
catatan curian. Jika otoritas penerbit kartu gagal mendeteksi pelanggaran
dengan segera, penjahat dapat membuat kartu kloning (“plastik putih”) dan
menarik uang dari ATM atau menggunakan kartu kloning untuk pembelian langsung
secara ilegal.”
