Cyberthreat.id – Peneliti keamanan siber dari Group-IB menemukan dua alat malware point-of-sale (POS) telah digunakan oleh aktor ancaman untuk mencuri informasi lebih dari 167.000 kartu kredit dari terminal pembayaran.

“Pada 19 April 2022, Group-IB Threat Intelligence mengidentifikasi server Command and Control (C2) dari malware POS yang disebut MajikPOS,” ujar pakar tersebut dalam laporan terbaru Group-IB sesuai yang dikutip dari Bleeping Computer.

Pakar tersebut mengatakan, berdasarkan analisis C&C (Command and Control), terungkap bahwa malware tidak dikonfigurasi dengan baik dan cara pengembangannya memberikan kemampuan untuk mengekstrak kredensial yang dicuri untuk analisis lebih lanjut.

Tim kemudian menganalisis server dan menyimpulkan bahwa server tersebut juga telah menghosting panel administratif C2 dari malware POS lain yang disebut Treasure Hunter, yang juga digunakan untuk mengumpulkan data kartu kredit yang disusupi.

“Setelah menganalisis infrastruktur berbahaya, peneliti Group-IB mengambil informasi tentang perangkat yang terinfeksi dan kartu kredit yang dikompromikan sebagai akibat dari kampanye ini,” kata mereka.

Setidaknya sejak Februari 2021, operator dilaporkan telah mencuri lebih dari 167.000 catatan pembayaran (per 08 September 2022), terutama dari korban yang berbasis di AS. Menurut perkiraan Grup-IB, operator dapat menghasilkan sebanyak $ 3.340.000 jika mereka memutuskan untuk menjual dump kartu yang dikompromikan di forum bawah tanah.

Secara umum, peneliti keamanan mengatakan bahwa malware POS telah menjadi alat yang jarang digunakan, karena semakin banyak pelaku ancaman di industri carding yang beralih ke sniffer JavaScript untuk mengumpulkan data teks kartu dari situs web e-commerce. Namun, beberapa pelaku ancaman terus menggunakan teknik ini, termasuk di balik kampanye di atas, yang menurut Group-IB masih aktif.

“Malware hanya dengan sekali klik,” Erfan Shadabi, pakar keamanan siber dari comforte, mengatakan kepada Infosecurity.

Shadabi mengatakan, ada dua hal terpenting yang dapat dilakukan organisasi adalah: satu, menyebarkan kesadaran keamanan siber dan menggunakan pendekatan tanpa kepercayaan untuk memastikan bahwa pengguna hanya mendapatkan akses ke data sensitif ketika mereka memiliki izin dan hanya jika benar-benar diperlukan. Dan dua, lindungi datanya.”

Metode enkripsi tradisional bekerja dalam beberapa skenario, tetapi beberapa algoritma dapat dengan mudah dipecahkan, dan manajemen kunci serta masalah operasional lainnya membuat enkripsi data biasa menjadi tidak menarik.

“Menggunakan metode sentris data yang lebih kuat dan lebih fleksibel seperti tokenization berarti bahwa format data dapat dipertahankan sementara elemen data sensitif dikaburkan dengan token representasional,” tambah Shadabi.