Malware in betaalterminals voorkomt detectie door functionaliteit in te perken
De laatste tijd komt ransomware erg veel in het nieuws als een vorm van malware die gebruikers veel geld kan kosten. Ransomware versleutelt de bestanden op je computer en vraagt losgeld om de documenten weer leesbaar te maken. Veel slachtoffers zien zich genoodzaakt geld te geven aan de hackers, waardoor cybercriminelen een winstgevende business hebben kunnen maken van de kwaadaardige software.
POS-malware
Een andere vorm van malware is echter al sinds 2008 actief en heeft een meer rechtstreekse aanpak. Zogenaamde POS-malware sluipt binnen op betaalterminals en steelt de creditcardgegevens van gebruikers. Eenieder die zijn kaart in een geïnfecteerde machine steekt, zal zijn gegevens prijsgeven, waarna het een koud kunstje is voor de hackers om je bankrekening te plunderen.
Het type malware bestaat uit drie onderdelen. In de eerste plaats zal het virus proberen om ook actief te blijven nadat een toestel is herstart. Hiervoor maakt de malware veelal een Windows-service aan met een naam die geen argwaan opwekt. Zo zijn er in het verleden gevallen bekend waarbij het virus zich voordeed als een Microsoft File Manager Service.
In de tweede plaats bevat de malware een geheugenschraper. De communicatie tussen de betaalterminal en zijn server is geëncrypteerd, waardoor het moeilijk is voor malware om gegevens te kunnen onderscheppen. De data wordt echter kortstondig onversleuteld bewaard in het geheugen van het toestel. POS-malware zal daarom regelmatig het geheugen aftasten op zoek naar interessante data.
Ten slotte bevat de malware encryptiecode. Alle data die het heeft verzameld, zal worden geëncrypteerd, worden voorzien van een tijdscode en opgeslagen op de terminal. Op een later tijdstip zullen alle verzamelde gegevens naar de hackers worden verstuurd.
Oude malware
Ondanks het feit dat het type malware al bijna tien jaar actief is, slagen antivirusprogramma’s er slecht in om de kwaadaardige software te klissen. Hierdoor zijn er gevallen bekend van terminals die meer dan een jaar geïnfecteerd waren zonder dat iemand een probleem opmerkte. Om detectie nog harder te vermijden, hebben cybercriminelen een aangepaste versie gemaakt van RawPOS, één van de oudste versies van POS-malware. De hackers kunnen detectie omzeilen door simpelweg code uit de malware te verwijderen.
“Deze variant heeft geen nieuwe functionaliteit. Het heeft zelfs enkele functies verwijderd, wat zeldzaam is, aangezien ontwikkelaars normaal gezien coderen om functies toe te voegen. De grote vraag is waarom de malwareschrijver code verwijdert van de nieuwere variant? Hoogstwaarschijnlijk is het een poging om handtekeningdetectie te voorkomen,” schrijft Cylance over de kwestie.
[related_article id=”212857″]Met handtekeningdetectie doelt Cylance op het detecteren van specifieke kenmerken van malware. Antivirusprogramma’s maken gebruik van een database van gekende virussen en hoe ze deze kunnen herkennen. Op deze manier kan malware die gekend is bij antivirusaanbieders erg eenvoudig worden tegengehouden.
Verandering
Het probleem is dat de RawPOS-malware continu nieuwe bestandsnamen gebruikt, waardoor de detectie ervan bemoeilijkt wordt. Nu ook in de code zelf wordt gesnoeid, zullen antivirusprogramma’s het nog moeilijker hebben om de malware te klissen. De enige manier om de malware op het spoor te komen, is door in de gaten te houden of software verdachte acties uitvoert. Uit het verleden is echter al gebleken dat antivirussen de acties van POS-malware slecht herkennen, waardoor het virus ongestoord slachtoffers kan blijven maken.