Menü
Update
Security

Russische Malware späht US-Geldautomaten aus

vorlesen Drucken Kommentare lesen 51 Beiträge

Die Sicherheitsfirma Group-IB hat eine Malware namens "Dump Memory Grabber" aufgespürt, die Debit- und Kreditkartendaten von Kassenterminals und Geldautomaten ausspäht. Den Forschern zufolge wurde die Malware bereits dazu verwendet, um Daten von Kunden der US-Banken Chase, Capital One, Citibank und der Union Bank N.A. zu stehlen. Auch Kunden des Bekleidungshauses Nordstrom scheinen betroffen zu sein.

Die Website SecurityWeek berichtet über ein Online-Video, in dem der Urheber des Dump Memory Grabbers anderen Hackern die Funktionsweise seines Werkzeugs vorführt. Das in C++ geschriebene Windows-Programm liest den Speicher des Zielsystems mittels eines externen Tools namens mmon.exe aus.

Der Memory Grabber überträgt Karten- und Kontonummern, Benutzernamen sowie das Ablaufdatum der Karte per FTP an einen Kontrollserver. Dieser wird Vermutungen zufolge von russischen Angreifern betrieben. Group-IB zufolge sind in den USA mehrere hundert Kassenterminals und Bankautomaten mit dem Dump Memory Grabber infiziert.

Hinweise im Video führen zu einem russischen Hacker, der online als "Wagner Richard" auftritt. Derselbe Hacker bietet in einschlägigen Foren auch Denial-of-Service-Angriffe an. Laut der Website Security Affairs gehört Wagner Richard zu einer siebenköpfigen Bande.

Die Forscher von Group-IB gehen davon aus, dass die meisten betroffenen Kassen und Bankautomaten mit Hilfe von Insidern vor Ort infiziert wurden. Nur wenige der Kassensysteme wurden aus der Ferne kompromittiert – auf ihnen lief Windows XP oder Windows Embedded. In einigen Fällen sollen die Angreifer auch Sicherheitslücken in den Netzwerken der Banken ausgenutzt haben.

Erst vor wenigen Tagen hatte McAfee über einen ähnlich funktionierenden Trojaner namens VSkimmer berichtet, der in Cracker-Foren zum Verkauf steht. Der VSkimmer-Entwickler hat bereits einen Nachfolger seiner Entwicklung angekündigt, der auch Karten-Chips auslesen soll.

In Deutschland hat der Zentrale Kreditausschuss (ZKA) der deutschen Kreditwirtschaft bisher keine Kassen-Terminals und Bankautomaten zugelassen, die auf Windows aufsetzen. Mit einem Mittelsmann oder über manipulierte Terminals ist es allerdings auch hierzulande grundsätzlich möglich, Kartendaten und sogar PINs abzugreifen.

Update 27.3.2013, 20:30: Es gibt durchaus vom ZKA zugelassene Geldautomaten, die Windows für die Benutzerschnittstelle nutzen; das ist sogar recht verbreitet. Die Interaktion mit den EC-Karten findet jedoch über ein getrenntes System statt, das höheren Sicherheitsanforderungen genügen muss. Ähnliches gilt auch für Bezahlterminals. (ghi)