Nemanja, un nouveau botnet visant les terminaux de point de vente

Une goutte d’eau ? Peut-être pour l’heure, mais qu’en sera-t-il dans quelques mois…IntelCrawler a découvert, en mars dernier, un botnet, baptisé Nemanja, qui a infecté plus de 1500 terminaux de point de vente à travers le monde, dont au moins dix identifiés dans l’Hexagone. L’infection de ces derniers aurait déjà conduit à la compromission de quelque 300 cartes bancaires en France. Selon la firme,  les terminaux de point de vente seraient désormais vus par les cybercriminels comme des « niches plus efficaces » en termes de coût que « le détournement de cartes sur les distributeurs, mais aussi plus mobile, et générant les mêmes profits »… 

Dans un rapport d’étude, IntelCrawler explique que Nemanja concerne pour l’heure principalement les PME et les petits commerces de détail et de proximité, « donnant plus de visibilité à la problématique de [leur] insécurité après des violations de sécurité » de plus grande envergure telles que celle dont Target a été victime en fin d’année dernière.

L’un des premiers enseignements de l’infection touche à la protection des systèmes de point de vente. Et même là, les systèmes de protection conventionnels semblent dépassés : « la plupart des terminaux, systèmes comptables et plateformes de gestion d’inventaire compromis étaient équipés d’un antivirus », souligne IntelCrawler. Et Nemanja montre en outre que « les acteurs malicieux ont commencé à combiner logiciel malveillant de collecte en mémoire avec des modules d’enregistrement des frappes au clavier pour intercepter les boutons du clavier pressés aux côtés des fragments de mémoire vive contenant les données de cartes. » Pourquoi ? Parce que cela « peut aider à accéder à d’autres éléments de l’infrastructure des détaillants (bases de données SQL, stockage réseau, systèmes de GRC, etc.) » Et là encore, la détection prend du temps : elle « est survenue plus de 6 mois après la réussite de l’intrusion et de l’infection. »  

Le commerce de détail : une insécurité tant logique que physique

IntelCrawler relève sans surprise le besoin, pour les commerces de détail, de disposer de personnels compétents en sécurité informatique et, surtout réactifs, le facteur humain semblant tout aussi important dans le cas de Nemanja, que le volet technique. Mais la protection physique s’avère tout aussi importante : « durant l’enquête, il a été découvert que certain acteurs malicieux ont soudoyé des employés pour qu’ils installent le logiciel malveillant » sur les systèmes d’un vendeur de fruits et légumes. Plus généralement, selon IntelCrawler, le manque de sécurité physique « aide les acteurs malicieux à contourner les contrôles de sécurité et à infecter les environnements de paiement avec des logiciels malicieux, en désactivant la vidéosurveillance, coupant l’électricité, ou désactivant d’autres équipements pour rester invisibles. » Et certains cybercriminels agiraient en vastes réseaux internationaux largement organisés.
Mais Nemanja n’est qu’un exemple. Le logiciel malveillant Alina domine actuellement, en termes de parc contaminé, le domaine des systèmes de point de vente, avec 24 %… de parts de marché, loin devant Dexter, à 16 %, Vskimmer (13 %), Dexter v2 et BlackPOS (12 % chacun), voire Dexter v3 (10 %).

Mais que font les criminels des données de cartes bancaires collectées ? Ils les utilisent souvent pour produire de fausses cartes bancaires - en copiant la piste magnétique - pour procéder à des achats. IntelCrawler relève là encore un niveau de sophistication de plus en plus élevé avec, par exemple, le recours à des hologrammes de haute qualité, copiant ceux des cartes Visa et MasterCard.