O sprawie poinformowali specjaliści z firmy FireEye, która przechwyciła e-maile podszywające się pod aplikację w sprawie pracy, masowo rozsyłane do firm posiadających terminale PoS (Point of Sale). Do wiadomości takich załączone są pliki Word, mające wedle opisu zawierać CV nadawcy. W rzeczywistości w pliku znajduje się makro, które po uaktywnieniu łączy się z zewnętrznym serwerem, pobiera złośliwą aplikację i instaluje ją w systemie.

Analizy przeprowadzone przez specjalistów wykazały, że ów program służy do przechwytywania danych kart płatniczych i jest dostosowany do „obsługi” popularnych terminali PoS. Ów program nazwano NitlovePOS.

Złośliwe aplikacje tego typu robią się ostatnimi czasami coraz bardziej popularne – przestępcy zorientowali się, że z powodzeniem można wykorzystać je do masowego przejmowania danych kart płatniczych. To właśnie takie programy zostały użyte w 2014 r. do wykradzenia danych 56 mln kart z sieci firmy Home Depot czy rok wcześniej do przejęcia 40 mln numerów kart z firmy Target.

NitlovePOS po zainstalowaniu w systemie zaczyna skanować pamięć urządzenia w poszukiwaniu danych zapisanych w formacie typowym dla oprogramowania terminali sprzedażowych. Po ich zebraniu informacje są wysyłane na zdalny serwer, a przestępcy wykorzystują je do zakupów w internecie lub tworzenia kopii kart.

Atak wykryty przez FireEye jest o tyle nowatorski, że to prawdopodobnie pierwszy wykryty przypadek wykorzystywania spamu do dostarczenia złośliwego oprogramowania do terminali PoS. Do tej pory typowe było raczej zdalne włamywanie się do takich urządzeń, np. poprzez wykorzystanie skradzionych lub domyślnych loginów i haseł.

„Wygląda na to, że przestępcy skierowali swoje działania przeciwko firmom, w których komputery z oprogramowaniem PoS wykorzystywane są również do innych celów, w tym np. surfowania po internecie. Pracownicy takich przedsiębiorstw powinni być informowani o tym, że takie działania są absolutnie niewskazane – komputery pełniące funkcję terminali sprzedażowych nie powinny być używane do przeglądania internetu, używania prywatnej poczty, uruchamiania gier itp.” – napisali niedawno w firmowym blogu specjaliści z firmy Trustwave (która ostrzegła w ten sposób swoich klientów przed nowym złośliwym oprogramowaniem o nazwie Punkey).