Σε μια ειδοποίηση ασφαλείας που δημοσιεύθηκε την προηγούμενη εβδομάδα, η Visa αποκάλυψε ότι δύο πάροχοι φιλοξενίας της Βόρειας Αμερικής δέχτηκαν νωρίτερα αυτό το έτος κακόβουλες επιθέσεις, με αποτέλεσμα τα συστήματά τους να μολυνθούν από point-of-sale (POS) malware. Το POS malware έχει σχεδιαστεί για να μολύνει συστήματα Windows, να αναζητά εφαρμογές POS και, στη συνέχεια, να αναζητά και να παρακολουθεί τη μνήμη ενός υπολογιστή για πληροφορίες πιστωτικών καρτών που βρίσκονται υπό επεξεργασία στις εφαρμογές πληρωμών POS.
Συγκεκριμένα, η Visa δήλωσε ότι τον περασμένο Μάιο και τον Ιούνιο το Visa Payment Fraud Disruption (PFD) ανέλυσε δείγματα malware που αποκτήθηκαν από τις παραβιάσεις που υπέστησαν δύο πάροχοι φιλοξενίας της Βόρειας Αμερικής.
Η αμερικανική εταιρεία επεξεργασίας πληρωμών δεν αποκάλυψε την ταυτότητα κανενός από τα δύο θύματα, λόγω συμφωνιών για μη αποκάλυψη πληροφοριών καθ’όσον βρίσκονται υπό διερεύνηση τα περιστατικά ασφαλείας.
Η Visa δημοσίευσε την Πέμπτη μια ειδοποίηση ασφαλείας, στην οποία περιγράφει τα δύο περιστατικά καθώς και το malware που χρησιμοποιήθηκε στη διάρκεια αυτών, σε μία προσπάθεια να βοηθήσει άλλες εταιρείες του τομέα φιλοξενίας να σαρώσουν τα δίκτυά τους για δείκτες συμβιβασμού.
Όπως αναφέρει το ZDNet, από τα δύο περιστατικά, το δεύτερο, που έλαβε χώρα τον Ιούνιο, παρουσιάζει περισσότερο ενδιαφέρον, ως προς την απόκριση περιστατικών (IR).
Η Visa επεσήμανε ότι βρήκε τρία διαφορετικά στελέχη POS malware στο δίκτυο των θυμάτων – το RtPOS, το MMon (γνωστό και ως Kaptoxa) και το PwnPOS. Προς το παρόν, παραμένει άγνωστος ο λόγος για τον οποίο η hacking συμμορία που βρίσκεται πίσω από την εν λόγω επίθεση ανέπτυξε τρία στελέχη malware. Ωστόσο, εκτιμάται ότι με αυτή την τακτική οι χάκερς ήθελαν να διασφαλίσουν ότι θα λάβουν όλα τα δεδομένα πληρωμών από διάφορα συστήματα.
Η Visa, η οποία παρέχει επίσης υπηρεσίες αντιμετώπισης περιστατικών σε παραβιάσεις που σχετίζονται με χρηματοοικονομικά εγκλήματα, δήλωσε ότι οι εισβολείς παραβίασαν το δίκτυο της εταιρείας φιλοξενίας, χρησιμοποίησαν εργαλεία απομακρυσμένης πρόσβασης και ανατρεπόμενα μέσα για να αποκτήσουν πρόσβαση, να κινηθούν στο δίκτυο και να αναπτύξουν το malware στο POS περιβάλλον.
Η Visa δεν μπόρεσε να προσδιορίσει πώς ακριβώς οι χάκερς παραβίασαν το δίκτυο της εταιρείας. Ωστόσο, μπόρεσε να προσδιορίσει το σημείο εισόδου στο πρώτο hack, που έλαβε χώρα τον Μάιο. Ειδικότερα, η εταιρεία σημείωσε ότι η αρχική πρόσβαση στο δίκτυο του παρόχου αποκτήθηκε μέσω μιας phishing εκστρατείας που είχε ως στόχο τους υπαλλήλους του παρόχου. Οι νόμιμοι λογαριασμοί χρηστών, συμπεριλαμβανομένου ενός λογαριασμού διαχειριστή, παραβιάστηκαν κατά τη διάρκεια αυτής της εκστρατείας και χρησιμοποιήθηκαν από τους χάκερς, επιτρέποντάς τους να συνδεθούν στο περιβάλλον του παρόχου. Στη συνέχεια, οι χάκερς χρησιμοποίησαν νόμιμα εργαλεία διαχείρισης για πρόσβαση στο περιβάλλον δεδομένων κατόχου κάρτας (CDE) στο δίκτυο του παρόχου.
Μόλις εξασφάλισαν την πρόσβαση στο CDE, οι χάκερς ανέπτυξαν μια συσκευή απομάκρυνσης μνήμης για τη συγκομιδή των δεδομένων λογαριασμού πληρωμών 1 και 2 και αργότερα χρησιμοποίησαν ένα σενάριο δέσμης για τη μαζική ανάπτυξη του malware στο δίκτυο του παρόχου, για να στοχεύσουν διάφορες τοποθεσίες και τα αντίστοιχα περιβάλλοντά τους. Η συσκευή απομάκρυνσης μνήμης συνέλεξε τα δεδομένα καρτών πληρωμής και εξήγαγε τα δεδομένα σε ένα αρχείο καταγραφής.
Το POS malware που χρησιμοποιήθηκε σε αυτό το περιστατικό αναγνωρίστηκε ως παραλλαγή του στελέχους TinyPOS. Τέλος, οι δύο επιθέσεις αποδεικνύουν ότι παρά την πρόσφατη άνοδο και την προσοχή που τα περιστατικά web skimming (magecart) και ransomware εγείρουν στα μέσα μαζικής ενημέρωσης, οι hacking συμμορίες δεν έχουν εγκαταλείψει τη στόχευση συστημάτων POS, μέσω της οποίας αποσκοπούν να κλέψουν δεδομένα πιστωτικών καρτών ανυποψίαστων θυμάτων.
 malware.){kind=link}