Les chercheurs en sécurité de Cisco ont découvert une nouvelle famille de malwares des points de vente (PoS). La nouvelle famille de malwares PoS, baptisée PoSeidon, est capable d'extraire de la mémoire des machines de paiement électronique, les informations issues des cartes des consommateurs. Ces données bancaires sont par la suite envoyées à des serveurs de pirates.L'équipe de sécurité Cisco estime que la conception de PoSeidon est beaucoup plus sophistiquée que celle des logiciels malveillants des points de vente détectés jusqu'à présent. PoSeidon présenterait aussi certaines similitudes avec le Cheval de Troie populaire ZeuS.
Selon Cisco, le malware a été écrit de sorte à pouvoir échapper à la détection. Il peut communiquer directement avec les serveurs de commande et de contrôle (C & C) et est doté d'une capacité d'auto-mise à jour qui lui permet d'exécuter de nouveaux codes. Le malware dispose encore de mécanismes d'autoprotection pour se prémunir contre l'ingénierie inverse. Ce qui signifie qu'il est difficile d'étudier son fonctionnement et la manière dont il a été conçu.
Toutefois, les chercheurs de Cisco sont parvenus à fournir des informations importantes sur la nouvelle famille de malwares PoS.
PoSeidon infecte d’abord les machines avec un binaire Loader. Lorsqu'il est exécuté sur le dispositif de point de vente, il a un effet de persistance sur la machine de sorte le redémarrage du système ne suffit pas pour l'exterminer. « Le Loader contacte ensuite un serveur de commande et de contrôle, en récupérant une URL contenant un autre binaire à télécharger et exécuter,» a dit Cisco. Une fois le deuxième fichier binaire FindStr téléchargé, il « installe un keylogger et scanne la mémoire de l'appareil PoS pour toutes les séquences de numéros qui pourraient être des numéros de carte de crédit. Après avoir vérifié que les chiffres trouvés correspondent en fait à des numéros de carte de crédit, les frappes et les numéros de cartes sont codés et envoyés à un serveur d'exfiltration. » A-t-elle ajouté.
Les serveurs d'exfiltration auxquels les données des cartes sont envoyées appartiennent principalement à des domaines russes.
Une fois les informations des cartes volées, elles peuvent être à nouveau être codées dans une bande magnétique et utilisées avec une nouvelle carte.
Cisco indique qu'il existe des marchés noirs sur lesquels « les attaquants sont en mesure de monétiser facilement les données de carte de crédit volées ». Avec l'augmentation continue des transactions effectuées avec les cartes bancaires, l'entreprise de réseau souligne que ces opérations cybercriminelles sont susceptibles de perdurer. Il incombe donc aux administrateurs réseau de prendre les précautions nécessaires pour se protéger.
« Les attaquants vont continuer à cibler les systèmes PoS et employer diverses techniques d’obscurcissement dans une tentative d'éviter la détection. Tant que les attaques PoS continuent de procurer des gains, les attaquants vont continuer à investir dans l'innovation et le développement de nouvelles familles de logiciels malveillants. Les administrateurs réseau devront rester vigilants et adopter les meilleures pratiques de l'industrie pour assurer la couverture et la protection contre les logiciels malveillants qui progressent.» A expliqué l'équipe de sécurité Cisco.
Source: Blog Cisco
Et vous?
Qu'en pensez-vous?