+43 699 / 18199463
office@itexperst.at

ChewBacca-Malware greift Point-of-Sales-Systeme an

Eine Variante der als ChewBacca bekannten Malware infizierte zahlreiche POS-Systeme von Händlern. Sie nutzte Methoden des Keyloggings und Memory-Scrapings, um persönliche Daten der Kunden, einschließlich Kartendetails, zu stehlen. Über die letzten drei Monate hinweg infizierte ChewBacca rund 120 POS-Terminals von 45 verschiedenen Händlern. Somit sind mehr als 50.000 Karten betroffen, einschließlich der im Magnetstreifen enthaltenen Daten. Diese nennen sich Track 1 und Track 2-Daten.

RSA, die Sicherheitsabteilung von EMC, analysierte die Cyber-Attacke und Malware sowie deren Command-and-Control-Infrastruktur.

Die meisten der Händler haben ihren Sitz in den USA, aber auch in Russland, Kanada und Australien wurden Angriffe gemeldet. Zwar sind bisher keine Namen bekannt, aber möglicherweise gibt es eine Verbindung zwischen ChewBacca und den Datenlecks bei Target, Neiman Marcus und Michaels. Fleyder, Manager des Cybercrime Research Labs bei RSA, gab an, die entsprechenden Informationen an die betroffenen Händler weitergegeben zu haben.

Forscher des Kaspersky Labs entdeckten die Chewbacca-Malware zuerst im Dezember. Eines der interessantesten Fakten ist, dass die Malware mit einem Command-and-Control-Server im Tor-Netzwerk kommuniziert. Der Virus installiert einen Tor-Proyxy-Client auf den infizierten Systemen und verbindet sich dann mit einem Server mit einer .onion-Adresse. Diese Adresse kann nur von Diensten innerhalb des Tor-Netzwerkes genutzt werden.

Die Malware zählt alle Prozesse, die auf dem infizierten System laufen. Passen deren Informationen zu bestimmten Mustern, so extrahiert die Software diese Infos vom Speicher, so die Kaspersky-Forscher. Dabei greift sie auf Daten im Arbeitsspeicher zurück.

Neben dieser Hauptfunktion verfolgt der Trojaner auch verschiedene Keyboard-Events und Änderungen und speichert diese in einem system.log im temporären Ordner von Windows. Außerdem installiert er eine Ausführungsdatei mit dem Namen spoolsv.exe, um sicherzustellen, dass das Programm auch nach einem Neustart wieder ausgeführt wird.

Rund 80 Prozent der Anti-Viren-Programme erkennen derzeit den Virus. Allerdings werden solche Programme nicht immer auch für POS-Systeme genutzt. Deswegen muss auch Malware hierfür bisher nicht sehr ausgeklügelt sein. Bleibt zu hoffen, dass die Händler ihre Sicherheitsmaßnahmen verbessern.

Artikel von darkreading.com, 30.01.2014: Point-Of-Sale System Attack Campaign Hits More Than 40 Retailers
Artikel von computerworld.com, 30.01.2014: Tor-enabled malware stole credit card data from dozens of retailers

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen