Experten der Firma Cisco haben eine neue Malware gefunden, die es besonders auf Kassensystem – „Point of Sale (PoS)“ – abgesehen hat. Die Malware, mit abgeleiteten Namen „PoSeidon“ ist, wie von Cisco ausführlich dokumentiert, in der Lage, Windows-basierende Kassensysteme soweit zu kompromittieren, dass u.a. alle Konto- und Kreditkartendaten, sowie dazu eingegebene Pineingaben abgegriffen werden und die gesammelten Daten an Kriminelle übermittelt werden können.
Obwohl diverse Daten wie Kreditkartennummern und Pins nicht unverschlüsselt mit den Bezahldiensten abgeglichen bzw. auf der Festplatte der Kassensysteme gespeichert werden, hat die Malware moderne Funktionalitäten an Board, um an die gewünschten Daten zu gelangen.

Bildschirmfoto 2015-03-25 um 12.43.20

Bild: cisco.com

Über spezielle Keylogger fängt die Malware alle Eingaben am System bzw. Pineingabe des Kunden ab. Weiterhin setzt die Malware moderne Technik ein, über sogenanntes “Memory Scraping”(Kratzen am Speicher) wird dabei der Hauptspeicher des Systems ausgelesen. Der Punkt dabei ist, dass die Malware nur den richtigen Moment abpassen muß, wenn die zu verschlüsselnden Informationen in Klartext im Hauptspeicher vorliegen, um diese abzugreifen. Weiterhin hat die Malware die Fähigkeit die eigenen Spuren zu verwischen und Hintertüren zu öffnen. Dazu wird eine Fernwartungssoftware auf den eingesetzten Systemen kopiert, um von von Aussen weiterhin unerkannten Zugriff auf die Kassensysteme zu erhalten.
Laut den Experten von Cisco landen die gesammelten Daten hauptsächlich auf Servern in Russland. Die Kriminellen fertigen sich damit Konto und Kreditkarten-Fälschungen an bzw. bieten diese Informationen in einschlägigen Portalen sowie auf dem Schwarzmarkt zum Verkauf an.
Bilder: https://blogs.cisco.com/security/talos/POSeidon