De Amerikaanse overheid heeft winkels via een nieuw rapport gewaarschuwd voor malware waarmee criminelen kassasystemen infecteren en vervolgens toegang tot de betaalkaartgegevens van klanten krijgen, zoals onlangs bij winkelketen Target het geval was.

Daar werden de gegevens van 40 miljoen credit- en debitcards buitgemaakt. Het rapport van het National Cybersecurity and Communications Integration Center (NCCIC) heet 'Point-of-Sale (POS) Malware Technical Analysis--Indicators for Network Defenders' en werd via deze link aangeboden, die op het moment niet meer werkt.

Reuters wist een exemplaar van het rapport te bemachtigen waarin staat dat bij de recente aanvallen de POSRAM Trojan werd gebruikt. POSRAM is een 'RAM-schraper' die versleutelde data uit het geheugen van de computer kan halen, waar het zich op dat moment onversleuteld bevindt. De malware, die alleen kassasystemen op Windows infecteert, zou daarnaast niet door virusscanners worden opgemerkt.

Verspreiding

Hoe de malware zich precies verspreidt en de kassasystemen weet te infecteren laat Reuters niet weten. Beveiligingsbedrijf IntelCrawler zegt dat het in het laatste kwartaal van vorig jaar echter grootschalige brute-forceaanvallen zag waarbij criminelen via het Remote Desktop Protocol op kassasystemen in de Verenigde Staten, Australië en Canada probeerden in te loggen. Daarbij werden onveilige wachtwoorden gebruikt, zoals 'pos', 'micros' en '123456'.

Naast de mogelijks aanvalsvector heeft IntelCrawler naar eigen zeggen ook de auteur van de malware geïdentificeerd die bij Target werd gebruikt. Het zou om een 17-jarige Russische tiener gaan. Hij zou de aanval op Target niet zelf hebben uitgevoerd, maar wel de malware hebben geleverd die hierbij werd gebruikt.

"De echte criminelen verantwoordelijk voor de afgelopen aanvallen op winkels zoals Target en Neiman Marcus waren slechts zijn klanten", aldus Dan Clements, president van het beveiligingsbedrijf. Clements waarschuwt dat er binnenkort meer aanvallen op winkels bekend zullen worden gemaakt.