McAfee waarschuwt voor malware die wordt gericht op verkooppuntsystemen

Een nieuw stuk aangepaste malware dat op de illegale internetmarkt wordt verkocht, wordt gebruikt om de gegevens van de betaalkaart vanaf het punt te siferen. -of-verkoop (POS) -systemen, volgens beveiligingsonderzoekers van antivirusverkoper McAfee.

Dubbed vSkimmer, de Trojan-achtige malware is ontworpen om op Windows gebaseerde computers waarop betaalkaartlezers zijn aangesloten te infecteren, McAfee-beveiligingsonderzoeker Chintan Shah zei vorige week in een blogpost.

De malware werd voor het eerst gedetecteerd door het sensornetwerk van McAfee op 13 februari en wordt momenteel op cybercriminele forums geadverteerd als zijnde beter dan Dexter, een ander POS-malwareprogramma dat in december werd ontdekt ember.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

VSkimmer verzamelt eenmaal op een computer informatie over het besturingssysteem, inclusief de versie, unieke GUID-ID, standaardtaal, hostnaam en actieve gebruikersnaam. Deze informatie wordt in gecodeerde indeling teruggestuurd naar de besturings- en opdrachtserver als onderdeel van alle HTTP-aanvragen en wordt door aanvallers gebruikt om individueel geïnfecteerde computers bij te houden. De malware wacht tot de server reageert met de opdracht "dlx" (downloaden en uitvoeren) of "bijwerken" (update).

Kaapt de gegevens van de betaalkaart

VSkimmer doorzoekt het geheugen van alle processen die op de geïnfecteerde computer worden uitgevoerd, behalve voor degenen die op een witte lijst hardcoderen, voor informatie die overeenkomt met een specifiek patroon. Dit proces is ontworpen om kaart Track 2-gegevens te vinden en uit het geheugen van het proces dat is gekoppeld aan de creditcardlezer te extraheren. Track 2-gegevens zijn informatie die is opgeslagen op de magneetstrip van een betaalkaart en kan worden gebruikt om de kaart te klonen, tenzij de betaalkaart de EMV-norm (chip en pin) gebruikt. Dat gezegd hebbende, in een aankondiging eerder deze maand op een cybercrimineel forum, zei de auteur van de malware dat er gewerkt wordt aan het toevoegen van ondersteuning voor EMV-kaarten en dat "2013 een heet jaar zal worden."

De malware biedt ook een offline data-extractiemechanisme. Wanneer een internetverbinding niet beschikbaar is, wacht vSkimmer op een USB-apparaat waarop de volumenaam KARTOXA007 is aangesloten op de geïnfecteerde computer en kopieert vervolgens een logbestand met de vastgelegde gegevens, volgens Shah.

Dit wijst erop dat vSkimmer was ontworpen om ook ondersteuning te bieden voor fraude met betaalkaartfraude die profiteren van insiderhelpen naast diefstal op afstand. VSkimmer is een ander voorbeeld van hoe financiële fraude evolueert en hoe bancaire trojan-programma's verschuiven van het richten van de computers van individuele gebruikers van online bankieren naar richten betaalkaartterminals, zei Shah.