McAfee warnt vor Malware, die auf Point-of-Sale-Systeme abzielt

Ein neues Stück benutzerdefinierter Malware, das auf dem Markt für unterirdischen Internets verkauft wird, wird verwendet, um Zahlungskartendaten von einem Punkt zu entfernen (VS), so die Sicherheitsforscher des Antivirus-Anbieters McAfee.

Die Trojaner-ähnliche Malware, die vSkimmer genannt wird, infiziert Windows-basierte Computer, auf denen Kreditkartenleser installiert sind, der McAfee-Sicherheitsforscher Chintan Shah sagte letzte Woche in einem Blog-Post.

Die Malware wurde zuerst von McAfee Sensornetzwerk am 13. Februar erkannt und wird derzeit in cyberkriminellen Foren als besser als Dexter, ein anderes POS-Malware-Programm, das im Dezember entdeckt wurde, beworben ember.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Nach der Installation auf einem Computer sammelt vSkimmer Informationen zum Betriebssystem, einschließlich seiner Version, eindeutigen GUID-Kennung, Standardsprache, Hostname und aktivem Benutzernamen. Diese Informationen werden im verschlüsselten Format als Teil aller HTTP-Anfragen an den Steuerungs- und Befehlsserver gesendet und von den Angreifern verwendet, um die einzelnen infizierten Computer zu verfolgen. Die Malware wartet darauf, dass der Server mit dem Befehl "dlx" (download and execute) oder "upd" (update) antwortet.

Überprüft die Zahlungskartendaten

VSkimmer durchsucht den Speicher aller auf dem infizierten Computer ausgeführten Prozesse. außer für diejenigen, die in einer Whitelist fest codiert sind, für Informationen, die mit einem bestimmten Muster übereinstimmen. Dieser Prozess dient zum Suchen und Extrahieren von Karten-Track-2-Daten aus dem Speicher des mit dem Kreditkartenleser verbundenen Prozesses.

Track-2-Daten sind Informationen, die auf dem Magnetstreifen einer Zahlungskarte gespeichert sind und zum Klonen der Karte verwendet werden können, es sei denn, die Zahlungskarte verwendet den EMV (Chip und Pin) Standard. Das heißt, in einer Ankündigung, die Anfang dieses Monats in einem Cyberkriminellen-Forum veröffentlicht wurde, sagte der Autor der Malware, dass es Arbeit für die Unterstützung von EMV-Karten gibt und dass "2013 ein heißes Jahr wird."

Die Malware bietet auch einen Offline Datenextraktionsmechanismus. Wenn keine Internetverbindung verfügbar ist, wartet vSkimmer darauf, dass ein USB-Gerät mit dem Laufwerksnamen KARTOXA007 mit dem infizierten Computer verbunden wird und kopiert dann eine Protokolldatei mit den erfassten Daten.

Dies deutet darauf hin, dass vSkimmer war entwickelt, um auch Kreditkartenbetrugsoperationen zu unterstützen, die von Insider-Hilfe zusätzlich zu Remote-Diebstählen profitieren.

VSkimmer ist ein weiteres Beispiel dafür, wie sich Finanzbetrug entwickelt und wie sich Banking-Trojaner-Programme von der Ausrichtung auf die Computer einzelner Online-Banking-Nutzer auf Targeting verlagern Zahlstellen, sagte Shah.