ウイルス対策ベンダーのマカフィーのセキュリティ研究者によると、地下インターネット市場で売られている新しいカスタムマルウェアが、POSシステムから決済カードデータを抜き出すために使用されているという。
「vSkimmer」と呼ばれるトロイの木馬のようなマルウェアは、決済カードリーダーが接続されたWindowsベースのコンピューターに感染するように設計されていると、マカフィーのセキュリティ研究者チンタン・シャー氏は先週のブログ投稿で述べた。
このマルウェアは、2月13日にマカフィーのセンサーネットワークによって初めて検出され、現在、サイバー犯罪フォーラムでは、12月に発見された別のPOSマルウェアプログラムであるDexterよりも優れていると宣伝されています。
vSkimmerはコンピュータにインストールされると、OSのバージョン、固有のGUID識別子、デフォルト言語、ホスト名、アクティブなユーザー名などの情報を収集します。これらの情報は、すべてのHTTPリクエストの一部としてエンコードされた形式で制御・指令サーバーに送り返され、攻撃者は感染したマシンを個別に追跡するために使用します。マルウェアは、サーバーが「dlx」(ダウンロードして実行)または「upd」(アップデート)コマンドで応答するのを待ちます。
決済カードデータをハイジャックする
VSkimmerは、感染したコンピュータ上で実行されているすべてのプロセス(ホワイトリストにハードコードされているものを除く)のメモリを検索し、特定のパターンに一致する情報を探します。このプロセスは、クレジットカードリーダーに関連付けられたプロセスのメモリからカードのトラック2データを見つけて抽出するように設計されています。
トラック2データは、決済カードの磁気ストライプに保存されている情報であり、決済カードがEMV(チップ&ピン)規格を採用していない限り、カードの複製に利用される可能性があります。とはいえ、今月初めにサイバー犯罪者フォーラムに投稿された発表の中で、マルウェアの作者はEMVカードへの対応を進めており、「2013年は注目の年になるだろう」と述べています。
このマルウェアはオフラインでのデータ抽出メカニズムも備えています。インターネット接続が利用できない場合、vSkimmerはKARTOXA007というボリューム名を持つUSBデバイスが感染したコンピュータに接続されるのを待ち、取得したデータを含むログファイルをそのデバイスにコピーするとShah氏は述べています。
これは、vSkimmer がリモート盗難に加えて内部者の協力を得る決済カード詐欺操作もサポートするように設計されていることを示唆しています。
VSkimmer は、金融詐欺がどのように進化し、バンキング型トロイの木馬プログラムが個々のオンライン バンキング ユーザーのコンピューターをターゲットにすることから決済カード端末をターゲットにする方向に移行していることを示すもう 1 つの例だと Shah 氏は述べた。
