ホテルの販売時点情報管理(POS)アプリケーションからクレジットカード情報を盗むよう設計されたリモートアクセス型コンピュータトロイの木馬(RAT)が地下フォーラムで売られていると、セキュリティ企業Trusteerの研究者らが水曜日のブログ投稿で明らかにした。
Trusteer のセキュリティ研究者は、ホテルのフロントデスクのコンピュータに感染し、顧客のクレジットカード情報や請求情報を盗むように設計されたカスタム RAT の広告をブラックマーケット フォーラムで発見しました。
出品者は、ホテルのフロントデスクのマネージャーを騙してコンピュータにインストールさせる方法を記した説明書と、コンピュータトロイの木馬を280ドルで販売していました。また、購入者に届いた時点では、このマルウェアはどのウイルス対策プログラムでも検出されないと主張していました。
マルウェア作成者は、シグネチャベースのウイルス対策による検出を回避するために、悪質なインストーラを新しいアルゴリズムで再パッケージ化することが多いと、ウイルス対策ベンダーBitDefenderの上級電子脅威アナリスト、ボグダン・ボテザトゥ氏は述べた。
再パッケージ化されたサンプルは、ネットワーク境界で阻止されることなく、電子メールやインスタントメッセージングを介して配信される可能性があります。しかし、標的のシステム上で強力なヒューリスティック検出機能と行動検出機能を備えたウイルス対策製品が稼働している場合、マルウェアは実行時にブロックされるはずだと、ボテザトゥ氏は電子メールで述べています。
ホテル RAT の販売者は、このマルウェアは CVV または CID とも呼ばれるカード セキュリティ番号を収集しないと広告で明言していますが、だからといって、盗まれた残りの情報がサイバー犯罪者にとって必ずしも役に立たなくなるわけではありません。
ボテザトゥ氏によると、一部の加盟店はCVV情報なしでカード決済を許可されており、特に米国ではそれが顕著だ。しかし、たとえそうでなかったとしても、CVV情報を使ってカード所有者からセキュリティコードを盗み出したり、過去のフィッシング攻撃によって流出した既存のデータダンプからセキュリティコードを探したりすることは可能だと同氏は指摘する。
ほとんどのリモート アクセス コンピュータ トロイの木馬には、スクリーンショットの取得、キーストロークの記録、ファイルのダウンロード/アップロード、任意のコードの実行などの機能があり、さまざまな種類のサイバー犯罪活動に適しています。
ホテル RAT 広告には特定の POS アプリケーションのスクリーンショットが含まれていましたが、その機能は特定のプログラムに限定されない可能性があります。
「RATの強みはその汎用性にあります。つまり、様々な業界で使用されている様々なアプリケーションへの攻撃に利用できるのです」と、Trusteerの最高技術責任者であるアミット・クライン氏は述べています。「社内アプリケーション、銀行アプリケーション、防衛産業などに対してRATが使用されている事例を私たちは見てきました。」
ホテルは通常、ITスタッフやマルウェアに関する知識が限られており、毎日大量のクレジットカードを扱っているため、格好の標的となっていると、トラスティアの製品担当副社長ヤロン・ダイシアン氏は電子メールで述べた。
RAT の作成者がホスピタリティ業界をターゲットにしようと決めたという事実は、最近観察されたサイバー犯罪者の攻撃の焦点の変化、つまりオンライン バンキング攻撃から PoS システムへの攻撃への拡大と一致しています。
「こうした変化、あるいは多様化の主な理由は、POS端末や一部の業務用端末が、多数の被害者の情報を一度に収集できる『ミニリポジトリ』として機能している点にあると思います」とクライン氏はメールで述べた。「これは、通常1つか2つのアカウントしか漏洩しない一般向け端末とは対照的です。」
