Palo Alto Networks hat eine neue Malware‐Familie für Kassensysteme – nach dem englischen Begriff “Point of Sale” auch “POS-Malware” genannt – entdeckt. Von ihr wurden seit November 2014 bereits mehrere Varianten erstellt. In den vergangenen Wochen hat Palo Alto die Schädlingsfamilie analysiert und auf den Namen “FindPOS” getauft. Die Schadsoftware besticht laut Palo Alto Networks zwar nicht durch besondere Raffinesse, weist dafür jedoch insgesamt neun Varianten auf.

FindPOS führt dem Sicherheitsanbieter zufolge Memory Scraping zum Aufspüren von Daten durch, exfiltriert beziehungsweise exportiert diese per HTTP-POST an die Server-Domains der Kriminellen. In einigen Fällen zeichnet die sogar Tastatureingaben auf. Die FindPOS‐Familie ziele dabei insbesondere auf Windows‐basierende POS‐Terminals ab.

Nachdem die Installation von FindPOS erfolgreich war, generiere die Malware schließlich einen sogenannten globalen Mutex. Konkret handelt es sich dabei um eine Datenstruktur, die durch das Erzwingen eines gegenseitigen Ausschlusses sicherstellen soll, dass lediglich eine Instanz von FindPOS läuft. Anschließend beginne FindPOS mit dem Memory Scraping und fahre danach gegebenenfalls mit dem Aufzeichnen von Tastenanschlägen fort.

Als “Memory Scraping” wird eine Technik bezeichnet, die nach Angaben von Palo Alto Networks in den letzten Jahren bei der Mehrzahl der POS‐Malware‐Familien entdeckt wurde. Sie wird dazu genutzt, den Speicher der laufenden Prozesse auszulesen, um Daten aufzuspüren. Wird eine Magnetkarte zur Verarbeitung einer Transaktion auf einem POS‐Terminal durchgezogen, werden die auf der Karte befindlichen Daten für einen kurzen Zeitraum oftmals unverschlüsselt im Arbeitsspeicher vorgehalten.

Insgesamt sei FindPOS aber trotz dieser Funktionalitäten nicht sehr ausgefeilt. Es fehle eine Reihe von Funktionen, die in früheren POS-Malware‐Familien beobachtet werden konnte.

Dies deutet dem Sicherheitsanbieter zufolge wiederum darauf hin, dass die Malware von Grund auf neu geschrieben wurde und FindPOS daher einer brandneuen Malware-Familie zuzuordnen ist.

In der vergangenen Woche hatte auch schon Cisco vor einer für Kassensysteme bestimmten Malware namens “PoSeidon” gewarnt. Nach Angaben der Forscher des Unternehmens ist diese ebenfalls in der Lage, mittels Memory Scraping von Kunden eingegebene PINs abzuschöpfen, obwohl diese nicht im Kassensystem gespeichert werden. Ferner sammelt die Software alle verfügbaren Kreditkartendaten und zeichnet Tastatureingaben wie Passwörter auf.

POS_malware