Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.703.356 Produkten

Fabian A. Scherschel 33

UDPoS: Neue Malware stiehlt Kreditkarten-Daten, tarnt sie als DNS-Traffic

UDPoS: Neue Malware stiehlt Kreditkarten-Daten, tarnt sie als DNS-Traffic

Point-of-Sale-Systeme werden immer wieder zum Angriffsziel von spezialisierter Malware.

Bild: Pixabay

UDPoS greift Kassensysteme an und kopiert die ausgelesenen Magnetstreifen-Daten. Mit denen können die Angreifer dann die Karten klonen und auf Shopping-Tour gehen.

Eine bisher unbekannte Malware-Familie missbraucht DNS-Pakete, um darin heimlich kopierte Kreditkartendaten zu verstecken. Da es sich bei dem Datenverkehr um UDP-Pakete handelt und die Malware Kassensysteme (Point of Sale, PoS) befällt, tauften die Entdecker den Schadcode UDPoS. Interessanterweise tarnen sich Schadcode und Kontrollserver als Update-System für den Fernwartungsdienst LogMeIn.

Anzeige

PoS-Installationen sind ein beliebtes Angriffsziel für Kriminelle. Besonders die Kassensysteme in kleineren Gastronomie-Betrieben und ähnlichen Geschäften laufen häufig noch auf Windows XP und sind deswegen besonders anfällig. Zwar bekommt die POSReady-Version dieses Betriebssystems von Microsoft Sicherheitsupdates bis April 2019, oft werden diese Systeme allerdings ungenügend gepflegt und nur sehr spät mit Updates versehen.

Entdeckt wurde UDPoS von der Sicherheitsfirma Forcepoint, einem Tochterunternehmen des US-Rüstungskonzerns Raytheon. Der Schadcode tarnt sich unter dem Namen update.exe und extrahiert während der Ausführung dieser Datei die eigentliche Malware-Executables namens LogmeinServicePack_5.115.22.001.exe und logmeinumon.exe in ein passendes Verzeichnis. Die Datei- und Ordnernamen sollen offenbar dazu dienen, das Programm als legitime Fernwartungssoftware zu tarnen. Eine weitere Version des Schadcodes tarnt sich als Update-Programm von Intel.

Malware-Funktion zum Auslesen von Karten-Scannnerdaten aus dem RAM des betroffenen Systems.
Malware-Funktion zum Auslesen von Karten-Scannnerdaten aus dem RAM des betroffenen Systems. (Bild:  Forcepoint )

Eine als Windows-Dienst eingetragene Batch-Datei sorgt dafür, dass die Malware den Neustart des Systems überlebt. Sie versucht nun durchgängig, die Magnetstreifen-Daten von Kreditkarten aus dem Speicher des Systems auszulesen. Mittels einer Blacklist werden Prozesse ausgeschlossen, die offensichtlich nichts mit dem normalen Betrieb eines Kassensystems zu tun haben. Schafft es die Malware, Magnetkarten-Daten aus dem Speicher zu lesen, schickt sie diese – zusammen mit dem Namen des Windows-Prozesses aus dem sie extrahiert wurden – an den Kontrollserver. Diese Daten sind als DNS-Anfragen getarnt. Den Sicherheitsforschern fiel dieses Vorgehen auf, da befallene PoS-Systeme somit ungewöhnlich viel DNS-Traffic generieren.

Ob und wie UDPoS in freier Wildbahn eingesetzt wird, kann Forcepoint nach eigenen Angaben nicht sagen. Da bestimmte Funktionen des Schadcodes, die dafür ausgelegt sind, AV-Programme zu umgehen, Programmierfehler enthalten und deswegen nicht funktionieren, könnte es sich laut der Sicherheitsfirma um unfertigen Schadcode handeln, der bisher nur testweise auf Systeme losgelassen wurde.

Auf Kassensystemen kopierte Magnetstreifendaten werden in der Regel dazu verwendet, die entsprechenden Kreditkarten zu klonen. Die Malware greift die Informationen aus Track 1 und 2 der Karten ab, Kopien könnten also dafür verwendet werden, mit den geklonten Karten vor Ort einzukaufen. Das funktioniert allerdings nur in Ländern, in denen Bezahlung mit Magnetkarten-Leser noch üblich ist. Die in Deutschland verbreiteten Chip-und-Pin-Systeme kann so erstellter Klon in der Regel nicht austricksen. Ebenso sind Online-Transaktionen ausgeschlossen, die den Sicherheitscode benötigen, der hinten auf der Karte steht – dieser ist nämlich nicht auf dem Magnetstreifen gespeichert. (fab)

33 Kommentare

Themen:

Anzeige
  1. Ordinypt: Vermeintlicher Erpressungstrojaner-Ausbruch in Deutschland gibt Rätsel auf

    Ordinypt: Vermeintlicher Erpressungstrojaner-Ausbruch in Deutschland gibt Rätsel auf

    Die vor kurzem aufgetauchte Ransomware Ordinypt löscht Dateien, statt sie zu verschlüsseln und hat es mit Fake-PDF-Dateien auf deutsche Personalabteilungen abgesehen. Allerdings gibt es bisher kaum Anzeichen auf Infektionen in freier Wildbahn.

  2. Erneuter Angriff auf Zahlungssysteme bei Kmart

    Erneuter Angriff auf Zahlungssysteme bei Kmart

    In einigen Filialen der US-Handelskette wurden offenbar die Kartenterminals mit Schadcode infiziert und Kreditkartendaten abgegriffen. Das Unternehmen hält den angerichteten Schaden für "begrenzt".

  3. Malware klaut Kreditkarten-Daten aus der Computerkasse

    Chipotle Mexican Grill

    Kassen in Restaurants der US-Kette Chipotle Mexican Grill wurden attackiert, um Daten von Bezahlkarten zu stehlen.

  4. Mehrere tausend ElasticSearch-Server als Botnet abkommandiert

    Server

    Ein aus ElasticServern aufgebautes Botnet soll verschiedene Kampagnen von Point-of-Sale-Malware steuern. Wer einen derartigen Server betreibt, sollte diesen absichern – was offenbar nicht immer passiert.

  1. So sichern Sie Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen können Sie sich gegen Lösegeldforderungen schützen.

  2. Windows 10 zurücksetzen - so geht's

    Macht Windows 10 Probleme und Sie möchten es zurücksetzen? Dann finden Sie hier die Anleitung dazu.

  3. Daten in der Cloud sicher verschlüsseln

    Wer Daten in die Cloud legt, kann nie sicher sein, dass kein Dritter mitliest. Wichtige Daten sollten separat verschlüsselt werden. Wir zeigen, wie's geht.

  1. Fahrbericht Audi A7 55 TFSI

    Wenn brandneue Smartphones das erste Mal in die Hände neugieriger Tester geraten, nennt man das gerne ein „Hands On“. Fahren kann das Ding auch. Vom hübsch gefalteten Blechkleid mal abgesehen, stecken aber gerade in den elektronischen Komponenten viele der Highlights der neuesten Generation

  2. MateBook X Pro: Huawei möbelt sein 3:2-Windows-Notebook auf

    Huawei möbelt sein 3:2-Windows-Notebook auf

    Das MateBook X Pro macht vieles besser als der erste Notebook-Versuch von Huawei. Das praktische 3:2-Display wird größer und höher aufgelöst, der Prozessor schneller, die Kühlung besser. Kurios ist die aufklappbare Kamera in der Tastatur.

  3. Noch ein Klassiker: HMD legt das Nokia 8110 neu auf

    Noch ein Klassiker: HMD legt das Nokia 8810 neu auf

    Der ikonische gebogene Slider ist wieder da: Das Nokia 8110 soll für Furore sorgen, obwohl es nur ein einfaches Handy ohne Smart-Funktionen ist. Im vergangenen Jahr ist Hersteller HMD Global das mit dem Nokia-Klassiker 3310 gelungen.

  4. Dimensionen der Tiefe: Die Bilder der Woche (KW8)

    Dimensionen der Tiefe: Die Bilder der Woche (KW8)

    Können Sie echte von unechten Bildern unterscheiden? Die Bilder dieser Woche machen deutlich, dass Fotos nicht zwingend ein Abbild der Wirklichkeit, sondern die Wirklichkeit des Fotografen wiedergeben.

Anzeige