Pro PoS – ein Panzertier unter Waffenbrüdern

Die Forscher von dem amerikanischen Unternehmen InfoArmor, das auf den Schutz von Unternehmen vor Betrug spezialisiert ist, haben einen neuen PoS-Schädling entdeckt, der mit einer soliden Auswahl von Methoden zur Abwehr von Schutzmechanismen ausgestattet ist. Insbesondere setzt Pro PoS Solution Polymorphismus zur Umgehung von Signatur-basierten Lösungen ein sowie ein Rootkit, das für Nachhaltigkeit und Verborgenheit im System sorgen soll.

Laut Aussage von InfoArmor „wiegt“ der Rekrut insgesamt nur 76 KB und wird aktuell aktiv in Angriffen auf Einzelhändler eingesetzt, hauptsächlich in den USA und in Kanada.

Einer russischsprachigen Werbung zufolge, die Ende Oktober in einem Untergrund-Forum veröffentlicht wurde, ist Pro PoS in der Lage, den Start in der Sandbox und den Einsatz anderer Emulatoren zu erkennen, mit Ausnahme solcher, die Virtualisierung anwenden. Die Autoren des Schädlings versprechen Plugins für den Diebstahl von Passwörtern aus dem Browser, aus FTP-Clients und anderen Anwendungen herauszugeben, sowie für die Registrierung der Tastaturanschläge, und zwar auch auf einer virtuellen Tastatur.

Am „schwarzen Freitag“ registrierten die Beobachter von InfoArmor das Erscheinen einer Reihe von wichtigen Updates für Pro PoS, aber auch eine Preissteigerung – bis zu 2.600 Dollar kostet eine Halbjahreslizenz.

Bemerkenswert ist, dass es im laufenden Jahr deutlich mehr Angebote zum Hacken von PoS auf dem Schwarzmarkt gegeben hat. Allein im letzten Monat tauchten mindestens drei neue Namen auf: Cherry Picker, Abaddon und der komplexeste des Trios, ModPOS. Der Reporter von The Register, der den Fund von InfoArmor vorgestellt hat, nimmt an, dass die spektakulären Attacken auf Einzelhändler als Anreiz für die Aktivität der Virenschreiber in diese Richtung gedient haben – man erinnere sich nur an das massenhafte Abfließen von Kundendaten bei Target oder die kürzlich entdeckte Infektion in den Netzen der Einzelhändler Hilton, Trump und Starwood.

Die Massenhacks von Bezahlsystemen bei Einzelhändlern unter Verwendung von PoS-Schädlingen hat die allgemeine Aufmerksamkeit auf diesen Malware-Typ gelenkt und die Virenschreiber dazu veranlasst, sich noch intensiver mit ihrer Perfektionierung zu beschäftigen. So nutzen viele Autoren moderner PoS-Schädlinge nun Tor, um den Befehls-Traffic zu verbergen und zeitnah die Unterstützung neuer Betriebssysteme hinzuzufügen, die online in Erscheinung treten, insbesondere in Einzelhandels-Umgebungen.

Quelle: The Register

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.