Angriff auf Kassensysteme Trojaner MalumPOS schneidet Kreditkartendaten mit
Sicherheitsexperten warnen vor einer neuen Schadsoftware, die sich in elektronischen Kassensystemen von Oracle einnistet. Dort greift sie die Daten bestimmter Kreditkarten ab. Betroffen sind vor allem Geschäfte und Hotels in den USA.
Die Sicherheitsforscher der Antivirenfirma TrendMicro haben eine Schadsoftware entdeckt, die es auf Kreditkartendaten abgesehen hat. MalumPOS, so nennen sie den Trojaner in ihrem Blog-Artikel, nistet sich in elektronischen Kassensystemen ein, die mit der Micros-Software von US-Hersteller Oracle arbeiten.
Diese soll bei weltweit 330.000 Kunden im Einsatz sein; wie viele Kassen genau damit arbeiten, ist nicht bekannt. Nach Einschätzung von Heise Security dürften auch in Deutschland mehrere Tausend Systeme vertreten sein.
Aber nicht nur das Produkt der erst im letzten Jahr von Oracle erworbenen Firma Micros ist betroffen, auch die Systeme Oracle Forms und Shift4 werden attackiert. Laut TrendMicro ist der Trojaner konfigurierbar, er könnte also auch Kassensysteme anderer Hersteller angreifen.
Getarnt als Grafikkartentreiber
Das POS in MalumPOS ist die Abkürzung für Point of Sale, was für Verkaufsstellen steht. Die Stellen arbeiten heute häufig mit elektronischen Kassen, die etwa unter Windows CE oder XP Embedded laufen und mit dem Internet verbunden sind.
Der laut dem detaillierten Bericht (englisches PDF) in der Programmiersprache Delphi geschriebene Schädling versucht über das Internet, in die Micros-Systeme einzudringen. In einem befallenen Rechner tarnt er sich dann als Nvidia-Grafikkartentreiber - die spielen in Kassensystemen zwar keine Rolle, fallen einem Bediener oder Administrator aber auch nicht unbedingt auf.
Einmal aktiv, sucht MalumPOS im Arbeitsspeicher des Kassencomputers nach Zahlenfolgen, die Kreditkartennummern bestimmter Kartenfirmen repräsentieren - konkret Visa, MasterCard, American Express, Discover und Diner's Club. Andere Kartennummern ignoriert er.
Entdeckte Kartennummern, deren Gültigkeitszeitraum zum Teil bis 2019 reicht, verschlüsselt er und sendet sie über das Netz - wohin, das verrät der TrendMicro-Bericht nicht. Das Unternehmen warnt, dass sich auf diesem Weg erbeutete Kreditkartendaten dazu nutzen lassen, um Zahlungen für Internetkäufe durchzuführen oder um Karten-Klone zu erstellen.
abr