Neue Kassensystem-Malware in Hotels entdeckt

Sicherheitsforscher warnen vor MalumPoS (PDF), einem Schadprogramm für Kassensysteme mit der Lösung Oracle Micros, das besonders auf Hotels abzielt. Hat es sich dort eingenistet, sammelt es Kreditkartendaten von Gästen. Schon mit dem Namen und der Kartennummer lassen sich falsche Karten erstellen, mit denen dann hochpreisige Waren eingekauft werden.

MalumPoS tarnt sich als Nvidia-Treiber (Screenshot: Trend Micro)Einem Blogbeitrag von Trend-Micro-Forscher Jay Yaneza zufolge tritt MalumPoS bisher hauptsächlich in den USA auf. Oracle Micros ist auf insgesamt 330.000 Kassensystemen in Hotels, Restaurants, Läden und Firmen weltweit im Einsatz.

Die Schadsoftware bezeichnet Yaneza als „RAM Scraper“. Sie schöpft also nie gespeicherte Daten aus dem flüchtigen Hauptspeicher (RAM) ab, selbst eine eventuell vom Kunden eingegebene PIN. Um den richtigen Zeitpunkt dafür zu ermitteln, überwacht sie laufende Prozesse. Sie wurde in Delphi geschrieben, einer aus der Mode gekommenen objektorientierten Version von Pascal.

Wie die Software auf die Terminals kommt, hat Trend Micro nicht erklärt. Es spricht aber von Konfigurationsmöglichkeiten, etwa um Radiant- oder Counterpoint-Kassensysteme anzugreifen. Auch Prozesse und Speicherbereiche scheinen vom Angreifer individuell festlegbar.

Die einmal installierte Schadsoftware gibt sich als „Nvidia Display Driver“ aus, manchmal auch als „Nvidia Display Driv3r“. Neben Micros greift sie Oracle Forms, den Bezahldienst Shift4 und Systeme an, auf die per Internet Explorer zugegriffen wird.

Yaneza schreibt, „ein beträchtlicher Teil“ der Infektionen sei in den USA beobachtet worden. Zur Ausbreitung ist weiter nichts bekannt. Die Malware konzentriert sich auf Kreditkarten von American Express, Diner’s Club, Discover, Mastercard und Visa.

Erst im März war ein RAM Scraper auf Kassensystemen der Luxushotel-Kette Mandarin Oriental entdeckt worden. Mit einer zumindest vergleichbaren Malware wurden im Herbst 2013 beim US-Elektronikhändler Target und im New Yorker Luxuskaufhaus Neiman Marcus Millionen Kundenkartendaten gestohlen. Einen ähnlichen Befall meldete Mitte 2014 The UPS Store, also die Filialen des Paketdiensts UPS. Und das Heimatschutzministerium der USA gab im August 2014 eine Sicherheitsmeldung zu einer RAM-Scraper-Malware namens Backoff heraus.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.