Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt Nov Dez
Most Popular News



Bevorstehendes Update für Adobe Reader und Acrobat schließt Sandbox-Escape-Sicherheitslücke



Kaspersky Lab-Analyse: Trojaner Regin attackiert GSM-Infrastruktur



Neue Zeus-Spielart mit breitem Zielspektrum



Zahlreiche Sicherheitslücken in der Google App Engine



DDoS-Leistungsstärke bricht alle Rekorde
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Nachrichten

POS-Terminals unter Beschuss

29.12.2012 17:02 MSK   |   Ihr Kommentar

Die Experten von Seculert haben ein spezialisiertes Schadprogramm entdeckt, das Kreditkartendaten von Verkaufsterminals zum bargeldlosen Bezahlen (Point of Sale) unter Windows stiehlt.

Der Schädling mit dem Namen Dexter dringt in den Systemprozess iexplore.exe ein, und gewährleistet so seinen erneuten Start bei manueller Abschaltung, stellt eine Liste aktiver Prozesse zusammen, wobei er unter Verwendung der Funktion ReadProcessMemory für jeden einzelnen die verfügbaren Speicherumgebung bestimmt, führt das Lesen im lokalen Puffer durch, indem er die Funktion verwendet und unterzieht die Speicherauszüge einem Parsing, und sucht so die Informationen, die kopiert und versendet werden sollen. Nach Angaben der Experten interessiert sich Dexter für die Daten der Tracks 1 und 2 der Plastikkarte: Name des Besitzers, Gültigkeitsdatum und Kartennummer, inklusive Emittentencode, Klasse und Typ der Karte, Kontonummer und manchmal auch Ländercode. Diese Informationen sind ausreichend, um eine Fälschung anzufertigen.

Die gestohlenen Daten werden verschlüsselt und über HTTP POST an einen entfernten C&C-Server geschickt. Die Antworten von diesem Server, inklusive Aktualisierung und Befehl zum Selbstlöschen, enthält der Schädling in Form einer chiffrierten cookie-Datei. Das von Dexter verwendete Verschlüsselungssystem wird ausführlich im Blog von Trustwave beschrieben. Die Verbindung mit dem Steuerungsserver wird über eine vorgegebene Liste aus 7 Domainnamen aus der Zone .com realisiert. Laut Verizon, sind 6 von ihnen auf einen Service registriert, der Vertraulichkeit garantiert, und die für ein und dieselbe IP-Adresse zugelassen sind, welche den Analysten von ZeuS wohl bekannt ist. In früheren Testversionen von Dexter wurde anstelle der Domains auf eine IP-Adresse und einen einzigen Pfad verwiesen. Diese Adresse - wie auch das entsprechende AS-System (AS58001) - haben einen schlechten Ruf. Die Experten von Verizon haben zudem eine gewisse Ähnlichkeit im Verhalten von ZeuS und Dexter festgestellt und bemerkt, dass einige Antiviren-Lösungen aus der Liste von Virus Total den neuen PoS-Schädling als ZeuS detektieren.

Soweit bekannt, treibt Dexter seit einigen Monaten sein Unwesen im Internet und hat es geschafft, hunderte von PoS-Systemen in weithin bekannten Einzelhandelsnetzen, Hotels, Restaurant und Parkanlagen zu infizieren. Seculert entdeckte den Schädling in 40 Ländern, wobei 30% der Infektionen auf die USA entfallen und 19% auf Großbritannien. Wie sich Dexter ausbreitet, ist bisher nicht klar, es ist lediglich bekannt, dass die Hälfte der Opfer Windows XP verwendet und über 30% Server-Betriebssysteme.

Quellen:

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen