zurück zur Übersicht

Nur eine POSse: MajikPOS

Lahme Tricks: MajikPOS ist an sich wenig spektakulär – zumindest aus europäischer Sicht. Ka-Tsching war einmal

Man sollte sich dessen bewusst sein: Es gibt keine offline-Kassen mehr. Egal ob an der Tankstelle, im Kurzwarenladen oder beim Italiener: Warendistribution, Buchhaltung und – nicht zuletzt – bargeldloses Bezahlen machen es erforderlich, dass jedes Kartenlesegerät und jede Kasse über eine Netzwerkverbindung verfügt. Jeder Point-of-Sale ist also eigentlich ein „Endpoint of Sale“. Und wie alle anderen Endpoints ist auch dieser inhärent angreifbar.

POS Malware ist eine eigene Gattung von Schadsoftware, die es besonders auf diese Art Endpoint abgesehen hat. MajikPOS gehört zu dieser Kategorie.

Die „Magie“ von MajikPOS

Laut der Analyse durch Researcher von Trend Micro hat diese Malware die gleichen Absichten wie andere POS Malware auch: das gezielte Ausleiten von Informationen aus den infizierten Netzwerken.

Was sie unterscheidet, ist der modulare Ansatz, den sie  bei der Ausführung an den Tag legt.

„MajikPOS benötigt nur eine weiter  Komponente vom Server, um mit dem durchsuchen des Arbeitsspeichers nach brauchbaren Informationen, zumeist Kreditkartendaten (RAM-Scraping) zu beginnen. Malwaretypisch arbeitet MajikPOS auch mit einem Command-and-control (C&C)-Server. Neuartig ist allerdings die Kombination von Remote Access Trojan (RAT) und POS Malware.

Vorhang auf: so kommt die Malware ins System

Zugang erhalten die Angreifer zumeist über unzureichend gesicherte VNC oder RDP Sessions. Ansatzpunkte sind häufig z.B. schwache Passwörter, im RDP Fall hinzukommend „Pass-The-Hash“-Techniken und veraltete  Betriebssysteme. Manchmal nutzen Angreifer aber auch die Überreste verwaister RATs die schon auf dem System vorhanden sind, und nie richtig entfernt wurden.

Die MajikPOS-Malware hingegen kann über (in gewissen Kreisen) „handelsübliche“ RATs  installiert werden. Zu diesem Zeitpunkt kommuniziert MajikPOS mit seinem C&C-Server, um das infizierte System zu registrieren. Einmal registriert, sendet der Server eine „Konfiguration“ mit drei Einträgen, die für das RAM-Scraping verwendet werden.

Standard-Malware…. Aber mit Glitzer-Umhang.

Ein weiteres eher ungewöhnliches Merkmal dieser POS Malware ist die Tatsache, dass sie in .NET geschrieben ist. Das ist zwar nicht weltbewegend, allerdings schon ungewöhnlich. Außerdem ist die Art, wie sie im RAM nach Daten sucht, interessant.

Eine andere POS Malware, die dasselbe Framework verwendet, ist GamaPOS aus dem Jahre 2015. Inzwischen zum „guten Ton“ gehört ebenfalls, dass die Malware sämtliche Kommunikation verschlüsselt abwickelt.

Vorerst keine Tour durch Europa

In Europa dürfte diese Malware allerdings kaum Verbreitung finden, da durch das „EMV“ Verfahren die von der Malware verwendeten Methoden um die Daten abzugreifen nicht funktionieren sollten.

EMV steht für Europay, Mastercard, Visa, und ist sicherer als herkömmliche Magnetstreifen (wie sie in Nordamerika verbreitet sind), die nur unveränderliche Kartendaten speichern. Hier liegt die Schwachstelle: Da die Daten auf dem Magnetstreifen statisch sind, kann man sie kopieren und zum Beispiel auf Dubletten auftragen. Der Angreifer verfügt damit prinzipiell über eine gültige Kreditkarte, mit der er sofort einkaufen kann.

Die in EMV-Karten eingebetteten Mikrochips speichern auch Daten, generieren aber zusätzlich einen eindeutigen Code für jede einzelne Transaktion. Ohne die korrekte Chip-Response funktioniert die Karte nicht. Mit anderen Worten: auch wenn ein POS infiziert ist, sind die gestohlenen Daten grundsätzlich zunächst einmal nutzlos für einen Cyberkriminellen.

Faule Tricks besser gleich verhindern

Natürlich ist das kein Grund, sich ohne Gegenwehr von POS Malware überrennen zu lassen. Grundsätzlich müssen Daten aus Bezahlsystemen so sicher wie möglichgehalten werden – schon allein aus Compliancegründen.

Wie eingangs schon erwähnt: Wir sprechen hier prinzipiell von Endpoints. Es gelten also für den Schutz von Kassensystemen ganz ähnliche Regeln. Aktuelle Endpoint Protection Solutions der können POS Malware effektiv stoppen (einen ausführlichen Test zu Next Generation Endpoint Protection Solutions finden Sie hier).

Produkte wie Cylance verhindern bei den meisten Malwares schon, dass sie überhaupt auf das System gelangen können, ohne sofort entfernt oder in Quarantäne gesteckt zu werden. Zusätzlich werden typische Techniken wie Ram Scraping sofort erkannt und unterbunden.

Fazit: Für Kenner eine eher lahme Show. Aber lehrreich.

Obwohl die Gefahr in Europa aufgrund der sehr sicheren EMV-Chip-Karten deutlich geringer ist, als auf der anderen Seite des Atlantiks: Endpoints gehören abgesichert. Auch wenn (oder eher: gerade wenn) es sich um POS-Systeme handelt.

 


https://www.infosecurity-magazine.com/news/majikpos-shows-evolved-cardskimming/

http://blog.trendmicro.com/trendlabs-security-intelligence/majikpos-combines-pos-malware-and-rats/

https://www.cylance.com/content/cylance/en_us/blog/cylance-vs-flokibot-pos-malware.html

Bild: ©iT-CUBE SYSTEMS AG 2017

Schreibe einen Kommentar