Nieuwe malware heeft het voorzien op pinautomaten om kaartgegevens te stelen bij een aantal Amerikaanse banken volgens onderzoekers. De maker van deze malware zou banden hebben met een Russische cyber-bende.De malware die “Dump Memory Grabber” heet scant het geheugen van een betaalsysteem op zoek naar kaartgegevens volgens onderzoekers van Group-IB die dit bij SecurityWeek hebben gemeld. Volgens de onderzoekers is het al gelukt om gegevens te stelen van klanten van een aantal grote banken zoals Chase, Captital One, Citibank en Union Bank of Califonia.
Voorheen werden meestal individuele computers en servers aangevallen, maar deze malware richt zich rechtstreeks op de betaalautomaten of de grote kasregisters bij winkels en kiosken om daar kaartgegevens van te stelen. De malware is volledig geschreven in C++ zonder de noodzaak voor aanvullende libraries. De malware voegt zichzelf toe aan de registry zodat deze bij het opstarten van het systeem automatisch wordt geladen. Alle gegevens worden vervolgens in een output.txt bestand geplaatst dat via een FTP verbinding wordt doorgesluisd. Het IP adres gaat naar een netwerk van Selectel dat is gevestigd in de buurt van Moscow. Group IB onderzoekers geloven dat deze bende een onderdeel is van een afsplitsing van het Russische Anonymous collectief. Hierbij zitten ook individuen uit de Ukraine, Armenie en Moscow.
Dump Memory Grabbers is niet de eerste malware die zich op betaal-automaten richt. Een paar maanden geleden is nog gewaarschuwd voor Dexter die betaalsystemen in winkels, hotels en restaurant infecteerde. Hierbij zouden meer dan 80.000 kaartgegevens zijn gestolen. Er werd gebruik gemaakt van zowel USB drive om de gegevens ‘op te halen’ als van het internet om de gegevens direct door te sturen.
McAfee onderzoeker Chintan Shah heeft vorige week nog gerapporteerd over de malware vSkimmer, een opvolger van Dexter. vSkimmer kan kaartgegevens halen uit windows gebaseerde betaalsystemen. Ook deze is in staat om het rechtstreeks via Internet door te sturen of om het via een USB drive te downloaden. vSkimmer een duidelijk voorbeeld hoe de fraude via elektronisch betalen steeds verder evolueert.
Group IB heeft aangegeven dat ze de gevonden informatie hebben doorgegeven aan VISA, de banken die geraakt zijn en de Amerikaanse wetshandhavingsinstanties.