Le malware utilisé pour cette opération cybercriminelle mondiale a infecté près de 1 500 terminaux de points de vente, systèmes comptables et autres plates-formes de back-office de détaillants dans 36 pays. Les systèmes ont été reliés entre eux pour constituer un botnet surnommé Nemanja par les chercheurs de IntelCrawler, l'entreprise de sécurité spécialisée dans la cybercriminalité à l'origine de la découverte. Les chercheurs pensent que les pirates derrière cette opération d'envergure sont peut-être originaires de Serbie.

La taille du botnet et ses ramifications remettent sur le devant de la scène les problèmes de sécurité rencontrés par les détaillants du monde entier. Ces problèmes avaient récemment fait la une des médias suite aux violations massives des terminaux PoS de plusieurs grands détaillants américains, notamment la chaine Target. « Ces différents incidents montrent que les cybercriminels s'intéressent de plus en plus aux terminaux PoS utilisés par les détaillants et les petites entreprises », ont déclaré jeudi dans un blog les chercheurs d'IntelCrawler. « Nous devons nous attendre à une augmentation du nombre de vols de données dans ces secteurs au cours des prochaines années », ont-ils estimé. Les chercheurs pensent également que ce marché va donner lieu au développement de nouveaux types de codes malveillants ciblant spécifiquement les systèmes back-office des détaillants et des caisses enregistreuses.

Des terminaux également infectés en France... 

IntelCrawler a évalué la taille du botnet Nemanja à 1 478 systèmes PoS infectés. L'entreprise de sécurité a localisé ces systèmes dans différents pays, dont les États-Unis, le Royaume-Uni, le Canada, l'Australie, la Chine, la Russie, le Brésil et le Mexique. Mais le botnet Nemanja a également été détecté dans d'autres pays comme l'Argentine, l'Autriche, le Bangladesh, la Belgique, le Chili, la République tchèque, le Danemark, l'Estonie, la France, l'Allemagne, Hong Kong, l'Inde, l'Indonésie, Israël, l'Italie, le Japon, les Pays-Bas, la Nouvelle-Zélande, la Pologne, le Portugal, l'Afrique du Sud, l'Espagne, la Suisse, Taiwan, la Turquie, l'Uruguay, le Venezuela et la Zambie.

L'analyse du botnet Nemanja révèle aussi que les systèmes PoS infectés sont très divers, et que le malware attaque aussi bien les systèmes de gestion des petits commerces de détail, que les logiciels de comptabilité courants utilisés dans les différents pays. Les chercheurs d'IntelCrawler ont pu identifier au moins 25 logiciels différents. Cela ne signifie pas que les applications sont spécialement vulnérables ou précaires, mais que le malware Nemanja PoS est capable de cibler des logiciels différents. Les chercheurs ont également établi que le malware pouvait récupérer des données de cartes de crédit, mais qu'il était également capable d'espionner la frappe au clavier pour intercepter des identifiants qui pouvaient éventuellement donner accès à d'autres systèmes ou bases de données et permettre aux pirates de récupérer d'autres informations de paiement ou d'autres données personnelles utiles.

Les PoS nouvelle cible des hackers

IntelCrawler pense qu'un malware PoS moderne sera très bientôt intégré sous forme de module dans des outils malveillants d'accès à distance (RAT) ou dans d'autres chevaux de Troie, et qu'il sera intégré à d'autres composants comme ceux utilisés pour l'enregistrement de la frappe au clavier ou le « sniffing » du trafic réseau. L'entreprise de sécurité Trustwave a récemment déclaré dans un rapport que, l'an dernier, sur l'ensemble des violations détectées, une sur trois concernait un PoS. Dans un autre rapport publié en avril, portant sur un éventail de violations plus large, l'opérateur Verizon révèle que les intrusions PoS sont responsables de 14 % des violations de données.