Plusieurs milliers d'ordinateurs zombies tentent activement de rentrer dans les systèmes informatiques des terminaux points de ventes (TPV) en utilisant des techniques de force brute pour tenter de deviner les identifiants d'administration distante. Ces PC font partie d'un botnet, désigné sous le nom BrutPOS par des chercheurs en sécurité de FireEye, actif depuis février dernier.

Ce botnet scanne les adresses IP de systèmes acceptant les connexions Remote Desktop Protocol (port 3389) et lorsqu'un service RDP est identifié, BrutPOS tente de se loguer à ces PC avec des noms d'utilisateurs et des mots passe appartenant à une liste prédéfinie. « Certains de ses noms et mots de passe indiquent que les attaquants recherchent des marques spécifiques de systèmes de terminaux de points de ventes tel que Micros », ont fait savoir les chercheurs de FireEye dans un blog.

2 serveurs de contrôle-commandes identifiés en Russie toujours actifs

Dans le cas où le malware réussit à deviner les identifiants distants d'un système ayant activé le protocole RDP, il permet d'envoyer des informations à un serveur de contrôle-commandes permettant ainsi aux attaquants de s'en servir pour déterminer si le système est un terminal point de ventes, et dans ce cas installe un programme malveillant pour extraire les donnés des cartes de paiement depuis la mémoire des applications tournant dessus. Ce type de programme, de type RAM scraper, a été particulièrement utilisé lors des précédentes attaques contre des systèmes TPV.

FireEye a par ailleurs identifié cinq serveurs de contrôle-commandes dont deux sont toujours en ligne, localisés en Russie en mai et juin. Des informations collectées sur ces serveurs laissent penser que le botnet est composé de 5 622 ordinateurs compromis dans 119 pays. Les chercheurs ont également identifié une soixantaine de systèmes compromis, principalement des terminaux points de ventes dont 51 basés aux Etats-Unis. Le nom d'utilisateur le plus souvent utilisé était « administrator », et le mot de passe « pos » et « password ».

Les systèmes pour terminaux points de ventes sont souvent la cible de pirates. Dernièrement, Trustwave avait indiqué que plus du tiers des brèches de sécurité sur lesquelles la société avait investigué incluaient des intrusions dans des terminaux points de ventes.