28 november 2014 09:35

Nieuwe kassa-malware misleidt virusscanners

Tientallen antivirusprogramma's detecteren Getmypass, een variant van de BlackPOS-malware, niet op pc-kassasystemen.

Beveiligingsonderzoeker Nick Hoffman heeft op de site VirusTotal een nieuwe zogenaamde “RAM-scraper” gevonden. Getmypass verzamelt onversleutelde kredietkaartgegevens in het systeemgeheugen van kassaregisters.

Het was dit soort malware dat verantwoordelijk was voor de grootschalige diefstal eerder dit jaar van kredietkaartdata bij Amerikaanse winkels als onder andere Neiman Marcus en Target. De hack is gebaseerd op een kwetsbaarheid die gemakkelijk opgelost kan worden met robuustere encryptie van kaartgegevens.

[related_article id=”161920″]

Getmypass lijkt nog in volle ontwikkeling te zijn, er is bijvoorbeeld nog geen “command-and-control”-functionaliteit, waarmee de hackers commando’s naar hun malware kunnen sturen. Ook bijvoorbeeld de mogelijkheid om toetsenbordaanslagen of logingegevens te registeren of om verzamelde data in een niet-lokaal bestand te bewaren, ontbreken nog bij Getmypass.

Virusscanners misleiden
De malware slaagt er echter wel in om alle 55 virusscanners op VirusTotal om de tuin te leiden. Getmypass draagt ook een digitaal certificaat van de uitgever “Bargaining active”. Digitale certificaten worden gebruikt om applicaties te ondertekenen, daardoor krijgen ze bij virusscanners meer geloofwaardigheid.

Sommige beveiligingsprogramma’s verwijderen het programma niet meteen, maar duiden het wel aan om in de gaten te houden. Het wordt dan meteen verwijderd als het verdachte zaken gaat uithalen.

Antivirusmaker Trend Micro vermoedt dat Getmypass een variant is op BlackPOS, een vaak gebruikte RAM-scraper.