„Neue“ PoS-Schadsoftware entdeckt

Originalartikel von Jay Yaneza, Threats Analyst

Die Bedrohungsforscher von Trend Micro haben eine bislang unbekannte Schadsoftware gefunden, die Point-of-Sale (PoS)-Systeme infiziert und möglicherweise bereits seit 2013 aktiv ist. Die Forscher haben die Familie PwnPOS benannt.

PwnPOS ist ein perfektes Beispiel für eine Schadsoftware, die es geschafft hat, all diese Jahre unbemerkt zu bleiben. Das liegt an ihrem einfachen doch durchdachten – wenn auch nicht zukunftssicheren — Aufbau. Die Malware besteht aus zwei Komponenten: einem RAM Scaper Binary und dem Binary, das für die Datenexfiltrierung zuständig ist. Die RAM Scraper-Komponente ist konstant geblieben, während die Exfiltrierungskomponente mehrere Änderungen durchgemacht hat. Diese Tatsache lässt auf mehrere unterschiedliche Autoren schließen. Der RAM Scraper geht die Memory eines Prozesses durch und legt die gefundenen Daten in eine .dat-Datei ab. Das Binary nutzt SMTP für die Datenexfiltrierung. Die technischen Einzelheiten der Funktionsweise von PwnPOS lassen sich hier nachlesen.

Die Schadsoftware führt ihre bösartigen Aktivitäten mit anderer PoS-Malware in mittelständischen Unternehmen aus und wurde in Länder wie Japan, Australien, Indien, USA, Kanada und Deutschland sowie in Rumänien erkannt. Forscher und Incident Response-Teams können die Analyseergebnisse in ihre zahlreichen PoS-Indikatoren aufnehmen. Weitere Informationen zu PoS-Schadsoftware finden sich in dem Sicherheitsbericht für 2014.

Weitere Analysen von Numaan Huq und Kenney Lu

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.