Cyber-Angriff auf PoS Anbieter

Cyberkriminelle werden raffinierter. Statt Tausende Massen-Emails auszusenden, konzentrieren sie sich mit gezielten "Speer-Phishing" Attacken auf ausgesuchte Opfer - im neuesten Fall auf einen PoS Anbieter. [...]

Diese Änderung in der Taktik ist sowohl durch die Beobachtung der letzten Angriffe, als auch durch den Untergrund-Markt an Herstellern und Verkäufern von illegalen Tools zu bemerken. Ein aktuelles Beispiel konnten Experten der RSA letzte Woche in einem Angriff gegen Anbieter von Point-of-Sale-Systeme dokumentieren.
Die Angreifer sendeten E-Mails an bestimmte PoS-Anbieter, wobei sie vorgaben kleineren Unternehmen wie Restaurants anzugehören. Derartige gezielte, individuelle Attacken werden „Advanced Persistent Threads“ Bedrohungen (APTs) zugeordnet.
„Ich maile Ihnen, weil niemand aus Ihrem Unternehmen meine Anrufe beantwortet“, lautet etwa eines dieser bösartigen E-Mails an eine europäischen PoS-Anbieter. „Ich habe ein Problem mit zwei meiner Terminals, ich habe zufällige Computerabstürze. Bitte rufen Sie mich an. Ich habe meine Visitenkarte angehängt!“
Beim Attachment handelte es sich dann um ein bösartiges Word-Dokument, das zwei Microsoft Office Schwachstellen auszunutzen versucht – CVE-2014-1761 und CVE-2012-0158, so die die RSA-Forscher in einem Blog-Post. Der Code umging dabei Antivirus-Erkennung mit einer neuartigen Technik.
Laut den Forschern von FireEye, die den Angriff ebenfalls analysierten, wurde dabei der bereits hinreichend bekannte Trojaner „Vawtrak“ eingesetzt, der Passwörter und digitale Zertifikate stiehlt, Tastenanschläge loggt, Screenshots macht und Remote-Desktop-Zugriff auf infizierte Systeme ermöglicht.
Computer und Netzwerke von PoS-Anbietern zu infiltrieren kann für Angreifer sehr interessant sein, weil sie diesen Zugang nutzen können, um Schaltpläne, Produktkonfigurationen, Kundenlisten und, noch wichtiger, Wartungs oder Remote-Support-Anmeldeinformationen zu stehlen.
Mit diesen Informationen kann man POS-Terminals infiltrieren, für die der Verkäufer technischen Support bietet. In der Tat fanden sowohl die Experten von RSA, als auch FireEye Verbindungen zwischen diesem Angriff und jüngsten Infektionen von Poseidon, einer Malware welche Kreditkartendaten aus dem Speicher von POS-Terminals stiehlt.
Ein weiterer interessanter Aspekt dieser Speer-Phishing-Kampagne gegen PoS-Anbieter war die Verwendung eines neuen Dokument-basierten Exploit-Kits namens Microsoft Word Intruder (MWI), so FireEye.
Exploit-Kits sind Angriffswerkzeuge, die mehrere Exploits bündeln. Sie werden auf dem Untergrund-Markt verkauft um Massen Angriffe durch manipulierte Websites oder bösartige Anzeigen zu starten. In diesem Fall aber offenbar nicht.
„Der Vertreiber von MWI, der auch der Autor ist, vermarktet das Exploit-Kit als ein APT-Tool, das in der Lage ist, einen Angriff auf eine bestimmte Person oder Firma zu fahren. Er warnte seine Kunden unter Androhung der Lizenz-Rücknahme davor, die Software für Massen-Spam zu benutzen.“
Cyberkriminelle Attacken verschieben sich also deutlich weg von den traditionellen Massen-Angriffen, wo das Ziel die Infizierung von möglichst vielen Opfern ist, unabhängig davon, wer sie sind und was sie tun.
*) Der Autor ist Redakteur der IDG Rumänien

Mehr Artikel

News

Lauf-Apps als Sicherheitsrisiko

Lauf-Apps sammeln Informationen über das eigene Training und tracken somit alle Fortschritte, die man beim Laufen gemacht hat. Allerdings benötigen sie um richtig zu funktionieren präzise Daten, darunter auch den Standort von Nutzern.
Diese Daten stehen oft öffentlich zur Verfügung. […]

News

Heimischer Seilbahn-Spezialist Doppelmayr wechselt zu IFS Cloud

Der Schritt hin zu einer zentralen Cloud bedeutet, dass die weltweiten Vertriebsstandorte von Doppelmayr ebenso wie die Produktionsstätten mit demselben System arbeiten können. Die Implementierung, die sofort beginnen soll, wird die meisten Funktionsbereiche des Doppelmayr-Geschäfts abdecken und mehr als 3.000 Mitarbeiter an mehreren Standorten betreffen. […]

News

Game Development Studie 2024: Knowhow aus Österreich ist weltweit gefragt

Nie zuvor hat eine so große Zahl heimischer Entwickler zum Erfolg internationaler Top-Games aber auch zur digitalen Transformation der österreichischen Wirtschaft beigetragen. Die heimischen Game Developer generieren einen gesamtwirtschaftlichen Umsatz von 188,7 Millionen Euro. Jeder Arbeitsplatz in einem Unternehmen der Spieleentwicklung sichert mehr als einen weiteren Arbeitsplatz in Österreich ab. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*