Malware PoSeidon gefährdet Kassensysteme

Andre Borbe,
Logo PoSeidon (Grafik: Cisco)

Vor dem Schadprogramm warnt Cisco. Es soll über einen Keylogger verfügen und flüchtigen Speicher durchsuchen können. Auf diese Weise kann PoSeidon PINs abgreifen, obwohl diese sicherheitshalber nie gespeichert werden.

Cisco hat eine Malware für Kassensysteme entdeckt. Das hat das Sicherheitsunternehmen in einem Blog mitgeteilt. Demnach kann PoSeidon via “Memory Scraping” PINs von Kunden abgreifen. Dabei werden diese eigentlich nicht im Kassensystem gespeichert.

Allerdings sammelt PoSeidon nicht nur PINs, sondern sämtliche Kreditkartendaten. Sie verfügt außerdem über einen Keylogger und kann somit Tastatureingaben – beispielsweise Passwörter – aufzeichnen. Anschließed sendet die Malware die Informationen an fremde Server. Viele davon stehen Cisco zufolge in Russland. Mit den Daten erstellen die Kriminellen dann falsche Kredit- und Kontokarten.

“PoSeidon ist eine weitere Malware für Kassensysteme, die raffinierte Techniken und Ansätze zeigen”, chreibt Cisco. “Angreifer werden weiter auf PoS-Systeme abzielen und dabei ihre Spuren verwichen, um einer Erkennung zu entgehen. Administratoren müssen wachsam bleiben und sich streng an Branchenempfehlungen halten, um davor sicher zu sein.”

Kassensysteme verschlüsseln zwar Kreditkartendaten für die Übertragung an einen Bezahldienst, allerdings müssen sie zu einem Zeitpunkt einmal als Klartext vorliegen – sicherheitshalber nicht auf der Festplatte, sondern im flüchtigen Speicher. Kriminelle, die diesen Speicher im richtigen Moment auslesen, können die nötigen Daten unverschlüsselt abfangen. Dieses Verfahren heißt “Memory Scraping” oder “RAM Scraping”, also “am Speicher/RAM kratzen”.

Funktionsüberblick PoSeidon (Grafik: Cisco)
Funktionsüberblick von PoSeidon (Grafik: Cisco)

Es ist auch bei Webservern beobachtet worden. 2009 war vermutlich erstmals von Fällen die Rede gewesen, in denen Kriminelle auf diese Weise Handy-PINs abschöpften. Die Sicherheitsabteilung von Verizon nannte dies damals “eine vollkommen neue Art Angriff, die wir nur in der Theorie für möglich gehalten hätten.”

Die Elektrohandelskette Target wurde im US-Weihnachtsgeschäft 2013 Opfer eines unbekannten PoS-Malware-Autoren. Der Angriff betraf bis zu 110 Millionen Kunden. Bei einer Attacke auf das Luxuskaufhaus Neiman Marcus soll das gleiche Schadprogramm eingesetzt worden sein. Es habe monatelang Kundendaten gesammelt. Laut FBI gab es vier weitere Opfer, die nicht namentlich bekannt sind. Die Malware wurde auch schon in Kanada und Australien entdeckt.

Kurz nach den ersten Berichten über den Vorfall bei Target informierte ein Sicherheitsexperte, es würden derzeit zehn- bis zwanzigmal mehr Kreditkartendaten auf dem Schwarzmarkt angeboten als üblich. Zu kaufen seien Sammlungen von bis zu einer Million Kartennummern. Der Preis lag laut Brian Krebs bei 20 bis 100 Dollar je Kartennummer.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de