Beveiligingsonderzoekers van RSA hebben op apparatuur waarop creditcardbetalingen worden verwerkt de zogenaamde ChewBacca-trojan gevonden. De malware doorzoekt het werkgeheugen naar bepaalde patronen en is voorzien van keylogging-functionaliteit.
De geheugenscanner van de ChewBacca-trojan maakt een kopie van het werkgeheugen en doorzoekt met behulp van reguliere expressies naar data die afkomstig lijkt van de magneetstrip van een creditcard. Als een creditcardnummer wordt gevonden wordt deze naar een centrale server gestuurd en opgeslagen.
Het versturen van de door ChewBacca buitgemaakte data verloopt via het Tor-netwerk. Hierdoor proberen de cybercriminelen het ip-adres van de command and control-server te verhullen. De server was alleen bereikbaar via een .onion-adres. De ChewBacca-malware vermomt zich volgens de RSA als spoolsv.exe, het bestand voor de Windows Print Spooler. Door dit bestand te wissen zou een systeem ontsmet zijn.
De server-backend van de ChewBacca-malware geeft een crimineel een eenvoudige webinterface tot de buitgemaakte data en het botnet, zo meldt RSA verder. Een beheerder van het botnet zou door het beveiligingsbedrijf tot een land in Oost-Europa zijn getraceerd totdat deze verdween in de anonimiteit van het Tor-netwerk. De FBI zou, na informatie van RSA te hebben gekregen, een server van de cybercriminelen hebben kunnen uitschakelen.
RSA stelt dat de ChewBacca-trojan ondanks zijn simpele opbouw en functionaliteit de afgelopen maanden zeer succesvol is gebleken in het stelen van creditcarddata bij tal van bedrijven in elf landen. Volgens Reuters zou het gaan om meer dan 49.000 creditcardgegevens die zijn gekopieerd. Ook zouden meer dan 24 miljoen transactiegegevens zijn ingezien. Het beveiligingsbedrijf adviseert bedrijven om hun betaalsystemen van betere encryptie te voorzien en om betere monitoringsoftware te installeren.