Het Amerikaanse National Cybersecurity and Communications Integration Center (NCCIC) waarschuwt in een recent rapport voor malware waarmee kassasystemen worden geinfecteerd. Het rapport heeft de titel “Point-of-Sale (POS) Malware Technical Analysis – Indicators for Network Defenders”. Hierin valt te lezen dat de malware na installatie de gegevens van betaalkaarten onderschept. Populaire versies van kassa-malware zijn BlackPOS, Dexter en vSkimmer.
POSRAM Trojan gebruikt bij recente aanvallen
In recente aanvallen via kassas’s is de POSRAM Trojan gebruikt. Door gebruik van deze malware werd onder anderen het Amerikaanse Target slachtoffer van een groot datalek. Deze malware is een ‘RAM Scraper’, software die het werkgeheugen van de kassa uitleest. In dit werkgeheugen zijn alle (klant)gegevens onversleuteld aanwezig. POSRAM slaagt erin om antivirus-software op de Windows-gebaseerde kassa’s te omzeilen.
Verspreiding na inloggen via RDP
Volgens beveiligingsbedrijf IntelCrawler zijn er in het laatste kwartaal van 2013 grootschalige brute-forceaanvallen op kassasystemen uitgevoerd, waarbij de aanvallers via het Remote Desktop Protocol (RDP) probeerden in te loggen. Het vermoeden bestaat dat de malware na succesvol inloggen door criminelen wordt geinstalleerd.
Ontwikkelaar geïdentificeerd
InterCrawler zegt daarnaast dat een 17-jarige Russische tiener de POSRAM malware heeft ontwikkeld. Hij zou de aanvallen echter niet zelf hebben uitgevoerd. De echte criminelen zijn klanten van deze ontwikkelaar.