US-CERT warnt vor Malware Backoff für Kassensysteme

Das Heimatschutzministerium der USA hat eine Sicherheitsmeldung (PDF) zu einer Malware namens Backoff herausgegeben. Sie wurde demnach seit Ende 2013 in drei Fällen auf Kassensystemen gefunden. Laut dem im Ministerium angesiedelten US Computer Emergency Readiness Team (US-CERT) wird sie von kaum einer Virenerkennung oder anderen Sicherheitssoftware entdeckt.

Backoff enthält vier Funktionen, die es für Angriffe auf Kassensysteme benötigt. Es kann erstens im Speicher nach Daten suchen, etwa der gerade eingegebenen PIN eines Kreditkartennutzers, zweitens Tastatureingaben aufzeichnen und drittens mit einem Kommandoserver kommunizieren, ihm also etwa die ermittelten Daten eines Kunden schicken. Viertens ist es ihm möglich, die Datei explorer.exe um bösartige Code-Elemente zu erweitern.

In seiner zehnseitigen Warnung stellt das US-CERT klar, dass so nicht nur Namen, Adressen und Telefonnummern von Einkäufern, sondern auch Kreditkartennummer samt zugehöriger PIN gestohlen werden könnten. Ein Händler, bei dem solche Malware installiert sei, riskiere nicht nur seinen Ruf, sondern seine Existenz.

Im US-Weihnachtsgeschäft 2013 hatte die Elektrohandelskette Target zu den Opfern unbekannter Malware-Autoren gehört. Bis zu 110 Millionen ihrer Kunden waren betroffen. Das gleiche Schadprogramm soll beim Luxuskaufhaus Neiman Marcus monatelang Kundendaten gesammelt haben. Laut FBI gab es vier weitere Opfer, die nicht namentlich bekannt sind. Die Malware wurde auch schon in Kanada und Australien entdeckt.

Kurz nach den ersten Berichten über den Vorfall bei Target informierte ein Sicherheitsexperte, es würden derzeit zehn- bis zwanzigmal mehr Kreditkartendaten auf dem Schwarzmarkt angeboten als üblich. Zu kaufen seien Sammlungen von bis zu einer Million Kartennummern. Der Preis lag laut Brian Krebs bei 20 bis 100 Dollar je Kartennummer.

Auch wenn Kassensysteme Kreditkartendaten für die Übertragung an einen Bezahldienst verschlüsseln, müssen sie irgendwann einmal als Klartext vorliegen – sicherheitshalber zwar nicht auf der Festplatte, aber doch im flüchtigen Speicher. Wenn Kriminelle zum richtigen Zeitpunkt diesen Speicher auslesen, haben sie die nötigen Daten unverschlüsselt abgefangen. Dieses Verfahren heißt „RAM Scraping“, also „am RAM kratzen“. Es ist auch bei Webservern beobachtet worden. 2009 war vermutlich erstmals von Fällen die Rede gewesen, in denen Kriminelle auf diese Weise Handy-PINs abschöpften. Die Sicherheitsabteilung von Verizon nannte dies damals „eine vollkommen neue Art Angriff, die wir nur in der Theorie für möglich gehalten hätten.“

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago