Direct Release: Trend Micro Ungkap Kemunculan Malware MalumPoS yang Menarget Sistem PoS di Industri Perhotelan, Ritel, dan Lainnya
Trend Micro menjadi yang pertama berhasil mengungkap kemunculan MalumPos, jenis serangan baru yang dijadikan sebagai sarana pembobolan sistem PoS yang dijadikan target oleh otak kejahatan di balik serangan tersebut. Malware MalumPoS yang dijadikan sebagai sarana serangan dirancang sedemikian rupa untuk dapat mencuri data dari sistem PoS yang beroperasi di atas platform Oracle® MICROS® yang biasa digunakan di industri perhotelan dan pariwisata, makanan dan minuman, serta ritel.
Oracle mengklaim bahwa MICROS telah digunakan oleh lebih dari 330.000 pelanggannya di seluruh dunia. Perusahaan-perusahaan yang sebagian besar berdomisili di Amerika Serikat diperkirakan juga sebagai pengguna platform keluaran Oracle tersebut. Fakta-fakta tersebut menjadikan ancaman malware pencaplok PoS RAM kali ini bisa berpotensi membawa resiko yang cukup besar bagi perusahaan-perusahaan, terutama yang berbasis di Amerika Serikat, berikut para pelanggan mereka.
Secara umum, malware pencaplok PoS RAM seperti malware MalumPoS ini sengaja dirancang supaya bisa mencaplok data kartu kredit dari sistem RAM yang terinfeksi. Setiap kali pita magnet dalam kartu kredit digesekkan, malware langsung beraksi mencuri data yang tersimpan di situ, seperti nama pemegang kartu kredit serta nomor akun mereka. Data tersebut kemudian dieksfiltrasi dan digunakan untuk mengkloning kartu kredit serupa, atau untuk kasus-kasus tertentu bisa lebih parah lagi, yakni digunakan untuk melakukan transaksi belanja online.
MalumPoS sengaja dirancang supaya mudah dikonfigurasikan. Ini artinya bahwa ke depan, mereka yang menjadi otak di balik serangan tersebut dapat mengubah atau menambahkan dengan berbagai proses atau sasaran seperti yang mereka kehendaki. Contohnya, mereka bisa mengkonfigurasi malware MalumPoS ini supaya nanti mereka dapat menyertakan Radiant atau NCR Counterpoint PoS systems ke dalam daftar target serangan mereka. Dengan demikian, perusahaan-perusahaan yang beroperasi di atas sistem tersebut juga rentan karenanya.
Fitur-fitur Lain yang Mencolok
Jika dibandingkan dengan malware pancaplok PoS RAM lain yang terpantau oleh Trend Micro beberapa waktu lalu, ancaman malware MalumPoS kali ini memiliki karakteristik yang istimewa:
- Samaran serupai NVIDIA: Sekali terinstal di dalam sistem, MalumPoS akan menyaru menjadi “NVIDIA Display Driver” palsu, seperti yang terlihat di Gambar 1 di bawah, dan akan menyerupakan dirinya dengan tampilan “NVIDIA Display Driv3r”. Meskipun NVIDIA bukan dianggap sebagai komponen utama dalam sistem PoS, namun karena pengguna pada umumnya familiar dengan komponen tersebut, sehingga mereka kadang beranggapan bahwa malware tersebut tidak berbahaya. Padahal justru sebaliknya.
Gambar 1: MalumPOS yang telah terinstal
- Sistem Tertarget: Disamping Oracle MICROS, MalumPoS juga menjadikan Oracle Forms, Shift4 systems, serta sistem yang diakses melalui Internet Explorer sebagai sasaran mereka. Melihat dari daftar basis platform tersebut, Trend Micro memandang bahwa target serangan terbesar diarahkan ke Amerika Serikat.
- Selektif dalam Mencaplok Data Kartu Kredit:MalumPoS menggunakan eskpresi regular untuk mengayak data PoS dan langsung mengarah ke informasi kartu kredit yang bersangkutan. Trend Micro juga memantau bahwa ancaman PoS lama bernama Rdasrv juga memperlihatkan perilaku serupa. Untuk kasus MalumPoS kali ini, malware tersebut mencaplok data beberapa jenis kartu kredit secara selektif: Visa, MasterCard, American Express, Discover, and Diner’s Club.
Seperti yang telah disebutkan di atas, MalumPoS memiliki karakteristik di antaranya bisa dikonfigurasikan ulang, sehingga memungkinkan otak di balik serangan tersebut untuk mengganti atau menambah lagi daftar target sistem maupun kartu kredit dalam aksi serangan mereka
Analisis yang mengulas lebih dalam mengenai MalumPoS, termasuk ulasan mengenai indikator serta YARA rules, dapat disimak di MalumPoS technical brief.
Rekomendasi dan Solusi
Trend Micro berhasil mendeteksi seluruh biner yang terkait dengan ancaman ini. Pada kesempatan ini, Trend Micro sekaligus mengumumkan pula bahwa bagi pengguna software pemonitor serangan seperti Trend Micro Deep Discovery Endpoint Sensor, Trend Micro telah menambahkan pula YARA rule di dalamnya, sehingga pengguna dapat menyertakan indikator-indikator yang diperlukan. Hal ini juga dapat disimak di dalam MalumPoS technical brief.
Untuk menyimak mengenai tindakan apa saja yang dapat dilakukan terkait adanya ancaman malware tersebut, silakan membaca Defending Against PoS RAM Scrapers: Current Strategies and Next-Gen Technologies.
Analisis selengkapnya oleh Kenney Lu; insights oleh Numaan Nuq & Kyle Wilhoit.
More Articles
