Les terminaux de paiement visés bien au-delà de Target

Le constat produit par IntelCrawler, spécialiste du renseignement en matière de cybercriminalité, n’a rien de réjouissant. La vaste attaque dont a été victime la chaîne de magasins Target en fin d’année dernière n’aurait ainsi rien d’isolé. Elle se serait appuyée sur un logiciel malveillant baptisé BlackPOS, également utilisé pour l’attaque d’un autre commerçant : Neiman Marcus. Mais voilà qu’iSight Partners, travaillant conjointement avec les services secrets américains, assure avoir découvert un nouveau logiciel malveillant, Kaptoxa, visant les terminaux de paiement. Selon iSight Partners, ce logiciel aurait « infecté un grand nombre de systèmes d’information de détaillants. » Mais pour IntelCrawler, Kaptoxa et BlackPOS ne font en fait qu’un. Sa première version aurait été compilée en mars 2013 par un développeur russe alors âgé de 17 ans.

Depuis lors, plus de 40 versions compilées de BlackPOS auraient été vendues à des criminels, sans compter plusieurs versions non compilées à des fins de personnalisation. BlackPOS intercepterait les données directement en mémoire vive des terminaux de points de vente et serait vendu 2000 $.

Dans un communiqué, Dan Clements, président d’IntelCrawler, précise que ses équipes ont « détecté de vastes attaques RDP en force brute visant les terminaux de points de vente aux Etats-Unis, en Australie et au Canada, dès le début 2013, avec des mots de passe faibles. » Pour Andrew Komarov, Pdg d’IntelCrawler, « de nouvelles infections par BlackPOS, ainsi que de nouvelles violations de sécurité peuvent apparaître très prochainement. Les revendeurs et la communauté de la sécurité devraient y être préparés. »

Selon Seculert, les criminels à l’origine de l’attaque sur Target auraient réussi à collecter rien moins que 11 Go de données en deux semaines, les transférant sur un serveur virtualisé en Russie, via FTP.

Enfin, IntelCrawler vient d’indiquer avoir découvert un autre logiciel malveillant visant les terminaux de point de vente, écrit sur 400 lignes de code VBscript afin d’en améliorer la furtivité. Il intègrerait des fonctionnalités comparables à celles de BlackPOS. Baptisé Decebal, ce nouveau logiciel malveillant est commercialisé depuis le début du mois de janvier.