UDPoS: Neue Malware stiehlt Kreditkarten-Daten, tarnt sie als DNS-Traffic

UDPoS greift Kassensysteme an und kopiert die ausgelesenen Magnetstreifen-Daten. Mit denen können die Angreifer dann die Karten klonen und auf Shopping-Tour gehen.

Eine bisher unbekannte Malware-Familie missbraucht DNS-Pakete, um darin heimlich kopierte Kreditkartendaten zu verstecken. Da es sich bei dem Datenverkehr um UDP-Pakete handelt und die Malware Kassensysteme (Point of Sale, PoS) befällt, tauften die Entdecker den Schadcode UDPoS. Interessanterweise tarnen sich Schadcode und Kontrollserver als Update-System für den Fernwartungsdienst LogMeIn.

PoS-Installationen sind ein beliebtes Angriffsziel für Kriminelle. Besonders die Kassensysteme in kleineren Gastronomie-Betrieben und ähnlichen Geschäften laufen häufig noch auf Windows XP und sind deswegen besonders anfällig. Zwar bekommt die POSReady-Version dieses Betriebssystems von Microsoft Sicherheitsupdates bis April 2019, oft werden diese Systeme allerdings ungenügend gepflegt und nur sehr spät mit Updates versehen.

Entdeckt wurde UDPoS von der Sicherheitsfirma Forcepoint, einem Tochterunternehmen des US-Rüstungskonzerns Raytheon. Der Schadcode tarnt sich unter dem Namen update.exe und extrahiert während der Ausführung dieser Datei die eigentliche Malware-Executables namens LogmeinServicePack_5.115.22.001.exe und logmeinumon.exe in ein passendes Verzeichnis. Die Datei- und Ordnernamen sollen offenbar dazu dienen, das Programm als legitime Fernwartungssoftware zu tarnen. Eine weitere Version des Schadcodes tarnt sich als Update-Programm von Intel.

Eine als Windows-Dienst eingetragene Batch-Datei sorgt dafür, dass die Malware den Neustart des Systems überlebt. Sie versucht nun durchgängig, die Magnetstreifen-Daten von Kreditkarten aus dem Speicher des Systems auszulesen. Mittels einer Blacklist werden Prozesse ausgeschlossen, die offensichtlich nichts mit dem normalen Betrieb eines Kassensystems zu tun haben. Schafft es die Malware, Magnetkarten-Daten aus dem Speicher zu lesen, schickt sie diese – zusammen mit dem Namen des Windows-Prozesses aus dem sie extrahiert wurden – an den Kontrollserver. Diese Daten sind als DNS-Anfragen getarnt. Den Sicherheitsforschern fiel dieses Vorgehen auf, da befallene PoS-Systeme somit ungewöhnlich viel DNS-Traffic generieren.

Ob und wie UDPoS in freier Wildbahn eingesetzt wird, kann Forcepoint nach eigenen Angaben nicht sagen. Da bestimmte Funktionen des Schadcodes, die dafür ausgelegt sind, AV-Programme zu umgehen, Programmierfehler enthalten und deswegen nicht funktionieren, könnte es sich laut der Sicherheitsfirma um unfertigen Schadcode handeln, der bisher nur testweise auf Systeme losgelassen wurde.

Auf Kassensystemen kopierte Magnetstreifendaten werden in der Regel dazu verwendet, die entsprechenden Kreditkarten zu klonen. Die Malware greift die Informationen aus Track 1 und 2 der Karten ab, Kopien könnten also dafür verwendet werden, mit den geklonten Karten vor Ort einzukaufen. Das funktioniert allerdings nur in Ländern, in denen Bezahlung mit Magnetkarten-Leser noch üblich ist. Die in Österreich verbreiteten Chip-und-Pin-Systeme kann so erstellter Klon in der Regel nicht austricksen. Ebenso sind Online-Transaktionen ausgeschlossen, die den Sicherheitscode benötigen, der hinten auf der Karte steht – dieser ist nämlich nicht auf dem Magnetstreifen gespeichert.

2018-02-08T10:39:51+00:00