De malware die op de kassasystemen van de Amerikaanse warenhuisketen Neiman Marcus allerlei gegevens van betaalkaarten uit het geheugen wist te kopieren bleef maanden lang verborgen, zo heeft het bedrijf laten weten. Recentelijk waarschuwde het bedrijf dat er malware op de kassa's was ontdekt.

Over de aanval zijn nu meer details bekend geworden. Zo was de malware op de kassasystemen, een RAM-schraper die betaalkaartgegevens uit het geheugen kopieerde, tussen 16 juli 2013 en oktober 2013 actief en werd pas deze maand ontdekt. In de periode dat de malware actief was is er met 1,1 miljoen betaalkaarten betaald. De RAM-schaper had echter niet alle kassasystemen bij de 42 vestigingen van de warenhuisketen geïnfecteerd. Daarnaast was de malware ook niet altijd actief.

Het is daardoor onduidelijk van hoeveel betaalkaarten de gegevens zijn gestolen. Uit cijfers van Vista, Mastercard en Discover blijkt dat 2400 debit- en creditcards waarmee klanten bij Neiman Marcus betaalden voor frauduleuze doeleinden zijn gebruikt. Van 80% van deze klanten had de warenhuisketen een post- of e-mailadres en deze personen zijn dan ook ingelicht.

Complexe malware

Volgens Neiman Marcus was de gebruikte RAM-schraper zeer complex en was de uitvoer ervan versleuteld. Na de ontdekking van de malware waren forensische onderzoeksbureaus verschillende dagen bezig om het uitvoerbestand te ontsleutelen. Dit werd gedaan door de malware te reverse engineeren en zo het encryptiealgoritme te bepalen. Daarmee was het mogelijk om het versleutelde bestand te ontsleutelen. De onderzoekers ontdekten toen pas dat de malware betaalkaartgegevens had verzameld.