گروهی از نفوذگران حرفه ای با بهره گیری از ابزارهای مورد استفاده در آزمون های نفوذپذیری و با هدف آلوده کردن پایانه های فروش (PoS) و سرقت اطلاعات کارت های بانکی، شرکت های کوچک و متوسط را هدف قرار داده اند.
به گزارش شرکت ضدویروس Trend Micro، این نفوذگران در ابتدا با اجرای حملات لغت نامه ای (Dictionary Attack) و حملات جستجوی فراگیر (Brute-force Attack) اقدام به جمع آوری اطلاعات اصالت سنجی کامپیوترهای با گذرواژه ضعیف در بستر اینترنت می کنند.
در مرحله بعد با اجرای ابزارها و سرویس های مجاز نصب شده بر روی این سیستم ها همچون VNC Viewer،وRemote Desktop Protection و Remote Desktop Connection به دستگاه متصل شده و اقدام به یافتن پایانه های فروش موجود در شبکه می کنند.
نفوذگران Black Atlas بمحض دسترسی یافتن به پایانه های فروش، اطلاعات ذخیره شده بر روی RAM دستگاه کارت خوان را که حاوی اطلاعات کارت بانکی متصل شده به آن می باشد را سرقت می کنند.
بر طبق توضیحات شرکت Trend Micro، این نفوذگران از بدافزار Kronos و چندین بدافزار PoS همچون Alina،وNewPOSThings و BlackPOS استفاده می کنند.
BlackPOS در روزهای پایانی سال ۲۰۱۳ در حمله به فروشگاه های زنجیره ای Target مورد استفاده قرار گرفت که در نتیجه آن جزییات ۴۰ میلیون کارت بانکی سرقت شد.
با توجه به اینکه بدافزار BlackPOS توانایی ارسال آنلاین داده های جمع آوری شده را ندارد و جزییات کارت را تنها بر روی یک فایل متنی ذخیره می کند نفوذگران Black Atlas آن را با یک درب پشتی (Backdoor) با نام Gorynych ترکیب کرده اند.
این درب پشتی اطلاعات فایل متن را با روش HTTP POST به سرورهای فرماندهی نفوذگران ارسال می کند.
بر طبق توضیحات Trend Micro، کشورهای آمریکا، استرالیا، هند، تایوان، آلمان و انگلیس بیش از سایر کشورها هدف Black Atlas قرار گرفته اند.
فسا-پسا
