RSA ontdekt ChewBacca-trojan voor stelen van creditcarddata

Beveiligingsonderzoekers van RSA hebben op apparatuur waarop creditcardbetalingen worden verwerkt de zogenaamde ChewBacca-trojan gevonden. De malware doorzoekt het werkgeheugen naar bepaalde patronen en is voorzien van keylogging-functionaliteit.

De geheugenscanner van de ChewBacca-trojan maakt een kopie van het werkgeheugen en doorzoekt met behulp van reguliere expressies naar data die afkomstig lijkt van de magneetstrip van een creditcard. Als een creditcardnummer wordt gevonden wordt deze naar een centrale server gestuurd en opgeslagen.

Het versturen van de door ChewBacca buitgemaakte data verloopt via het Tor-netwerk. Hierdoor proberen de cybercriminelen het ip-adres van de command and control-server te verhullen. De server was alleen bereikbaar via een .onion-adres. De ChewBacca-malware vermomt zich volgens de RSA als spoolsv.exe, het bestand voor de Windows Print Spooler. Door dit bestand te wissen zou een systeem ontsmet zijn.

De server-backend van de ChewBacca-malware geeft een crimineel een eenvoudige webinterface tot de buitgemaakte data en het botnet, zo meldt RSA verder. Een beheerder van het botnet zou door het beveiligingsbedrijf tot een land in Oost-Europa zijn getraceerd totdat deze verdween in de anonimiteit van het Tor-netwerk. De FBI zou, na informatie van RSA te hebben gekregen, een server van de cybercriminelen hebben kunnen uitschakelen.

RSA stelt dat de ChewBacca-trojan ondanks zijn simpele opbouw en functionaliteit de afgelopen maanden zeer succesvol is gebleken in het stelen van creditcarddata bij tal van bedrijven in elf landen. Volgens Reuters zou het gaan om meer dan 49.000 creditcardgegevens die zijn gekopieerd. Ook zouden meer dan 24 miljoen transactiegegevens zijn ingezien. Het beveiligingsbedrijf adviseert bedrijven om hun betaalsystemen van betere encryptie te voorzien en om betere monitoringsoftware te installeren.

ChewBacca server-inlogpagina

Door Dimitri Reijerman

Redacteur

Feedback • 31-01-2014 18:01 20

31-01-2014 • 18:01

20

Lees meer

Onderzoeker ontdekt nieuwe malware voor betaalsystemen
Onderzoeker ontdekt nieuwe malware voor betaalsystemen Nieuws van 28 november 2014
RSA-baas verdedigt gebruik omstreden NSA-algoritme
RSA-baas verdedigt gebruik omstreden NSA-algoritme Nieuws van 27 februari 2014
Amerikaanse winkelketen is slachtoffer van creditcardroof
Amerikaanse winkelketen is slachtoffer van creditcardroof Nieuws van 26 januari 2014
'Meer Amerikaanse winkelketens zijn slachtoffer hackaanvallen'
'Meer Amerikaanse winkelketens zijn slachtoffer hackaanvallen' Nieuws van 12 januari 2014
Hackers maakten ook 70 miljoen klantgegevens buit bij winkelketen Target
Hackers maakten ook 70 miljoen klantgegevens buit bij winkelketen Target Nieuws van 10 januari 2014
'Hackers Amerikaanse winkelketen stalen versleutelde pincodes'
'Hackers Amerikaanse winkelketen stalen versleutelde pincodes' Nieuws van 25 december 2013
'Aanvallers kraakten kassa's Amerikaanse winkelketen'
'Aanvallers kraakten kassa's Amerikaanse winkelketen' Nieuws van 19 december 2013
Meer producten en artikelen
Netwerk en systeembeheer Creditcard Malware Rsa

Reacties (20)

-Moderatie-faq
20
20
8
2
0
2
Wijzig sortering

Sorteer op:

Weergave:
Kalief 31 januari 2014 18:13
Wat ik niet terugvind is hoe die malware op al die kassa's is geplaatst. Het lijkt me stug dat die allemaal handmatig konden worden afgelopen zonder dat iemand het merkte. Dat vereist dan hulp van beveiligingspersoneel dat de hackers toeliet. Of de malware is gepusht vanaf een server, maar dat lees ik nergens. Een kassière kan toch moeilijk via internet een trojan hebben gedownload terwijl ze aan het werk was.
Armin
@Kalief31 januari 2014 23:26
Waarschijnlijk net als bij de Target hack een semi-inside job. Zowel de soort software als zeker de logistieke manier van inzetten vereist diepgaande kennis van de kassa-systemen. Simpelweg de enorme landoppervlakte van Amerika en geografische spreiding van de getrofen winkels (door het hele land) maakt dat dit onmogelijk handmatig per winkel gedaan kan zijn.

Dus iemand die werkt bij de leverancier of aanverwant bedrijf (zeg maar het equivalent van InterPay bij ons) is een logische gedachte.

Kan ook iemand bij die bedrijven zelf zijn geweest, maar omdat er nu al een aantal besmettingen zijn bij verschillende bedrijven op dezelfde wijze, duidt dat op ietsje hoger in de keten, of op zijn minst op een coordinatie daarbuiten.

Vandaar ook dat men niet te scheutig met informatie is bij de autoriteiten want men wil natuurlijk het hele netwerk oprollen.
kimborntobewild @Armin1 februari 2014 07:02
Trouwens: ook vanwege de gelijkaardige argumenten die jij hier aanhaalt, is het stemmen per stemmachine ook uitermate af te raden. En ronduit een gevaar voor de democratie.
Eenieder die dat ontkent, weet simpelweg niet genoeg van de materie.
Cerberus_tm @kimborntobewild1 februari 2014 17:04
Gelukkig zijn daar ook geen plannen meer voor, toch? Alleen voor stemprinters, en dat is een stuk beter. Dan worden de geprinte stemmen snel geteld met machines, en daarna nageteld met de hand.
telenut @Kalief31 januari 2014 19:30
Waarom zou dit niet kunnen? De kassa pc's bij ons zijn Windows XP toestellen... en met internettoegang. Meer moet ik niet zeggen zeker?
Kalief @telenut31 januari 2014 20:36
Meer moet je juist wel zeggen.

Waarom is een kassa een 'Windows XP toestel'?
Dat lijkt me nogal een overkill voor een veredelde rekenmachine met een weegschaal.

En wat moet een kassa met interent? Meer dan een dedicated lijntje voor de pintransacties en updaten van assortiment en prijzen is toch niet nodig.

[Reactie gewijzigd door Kalief op 31 juli 2024 11:13]

drdelta @Kalief31 januari 2014 22:27
Waarschijnlijk betreft het hier Windows XP Embedded.

Edit: linkje toegevoegd.

[Reactie gewijzigd door drdelta op 31 juli 2024 11:13]

kimborntobewild @Kalief1 februari 2014 06:56
Dat lijkt me nogal een overkill voor een veredelde rekenmachine met een weegschaal.
Wat maakt 't uit of dat overkill is? Feit is dat er zulke kassa's bestaan.
Een oude PC met XP kan ook wel eens een stuk goedkoper zijn dan een kant-en-klare-dedicated-kassa aanschaffen.
Afgezien daarvan, is 't natuurlijk niet slim om uberhaupt Windows te gebruiken voor kassa's. Er bestaat immers geen Windows-versie zonder tientallen lekken.
En trouwens, lang niet alle kassa's hebben een weegschaal. Wat moet bijv. een computerwinkel met een weegschaal? :)

[Reactie gewijzigd door kimborntobewild op 31 juli 2024 11:13]

Stoney3K @Kalief31 januari 2014 18:31
Wat ik niet terugvind is hoe die malware op al die kassa's is geplaatst. Het lijkt me stug dat die allemaal handmatig konden worden afgelopen zonder dat iemand het merkte. Dat vereist dan hulp van beveiligingspersoneel dat de hackers toeliet. Of de malware is gepusht vanaf een server, maar dat lees ik nergens. Een kassière kan toch moeilijk via internet een trojan hebben gedownload terwijl ze aan het werk was.
Via zero-day exploits in het OS?
it0 @Kalief1 februari 2014 10:24
het is niet ongebruikelijk dat personeel op een pos kunnen internetten.
Of het slim is een tweede, maar ongebruikelijk is het niet.
kimborntobewild @Kalief1 februari 2014 07:00
Wat ik niet terugvind is hoe die malware op al die kassa's is geplaatst.
Men breekt bij de winkel in, veroorzaakt verder geen schade zodat er ook verder niet wordt nagedacht over eventuele geplaatste trojans, en plaatst dan dus inderdaad tijdens die inbraak de trojan. Heeft al meerdere keren in de media gestaan :).
stug
Uw hersens zijn dus te stug :).
Vergeet niet, langs één kassa gaan tienduizenden mensen.
bennierex @Kalief2 februari 2014 08:56
Er staat toch niet specifiek dat het om kassa's gaat? Er wordt gesproken over apparatuur die creditcard betalingen verwerkt. Dat zijn imho ook allerlei tussenliggende systemen. Wellicht zelfs bij de cc-maatschappijen zelf...
SpoekGTi 31 januari 2014 18:07
Ja maar Chewie was co-piloot en helemaal niet handig met dingen op te sporen :P Daarentegen voor iemand genaamd Han Solo deed hij het wel goed in een Duo
flippy @SpoekGTi1 februari 2014 18:06
Chewie was wel diegene die alle shit kon fixen. ;)
RGAT 31 januari 2014 18:24
Moet toch denken aan het hele NSA 'incident' zodra ik las dat het RSA was...
(De backdoor die RSA in een algoritme had die door de NSA was ontwikkeld...)
Kan de FBI die server niet gewoon spammen met willekeurige data om de echte data te verstoppen? :P
Phaerion @RGAT31 januari 2014 19:47
Het is daarom op zijn minst opvallend dat juist het afluisterende NSA niet met dergelijke berichten komt. Zij waren tenslotte in het leven geroepen om allerlei vormen van terrorisme op te sporen en aan te pakken. In mijn beleving hoort daar dan ook het stelen van user data bij, omdat er, voglens de terrorisme bestrijders, ook gebruik wordt gemaakt van gestolen persoonsinformatie. .
wjn @Phaerion31 januari 2014 21:14
Blijkt des te meer wat het echte doel van de NSA is, namelijk de US of A voordeel geven ten opzichte van de rest van de wereld op alle vlakken.
Af en toe een bommetje is (macro) economisch toch niet interessant. Onrust zaaien en oorlog (creëren) daarentegen wel.

P.S. Misschien wat te sarcastisch geschreven, maar ach.

[Reactie gewijzigd door wjn op 31 juli 2024 11:13]

kimborntobewild 1 februari 2014 07:13
Beveiligingsonderzoekers van RSA hebben op apparatuur waarop creditcardbetalingen worden verwerkt de zogenaamde ChewBacca-trojan gevonden.
Wees eerlijker en zeg gewoon dat er malware is gezet (of is terecht gekomen, misschien ook wel op afstand) op Windows computers.
Bijv:
Beveiligingsonderzoekers van RSA hebben op computers waar Windows op staat, en waarop creditcardbetalingen worden verwerkt, de zogenaamde ChewBacca-malware gevonden.
Het een trojan (of het nu in eerste instantie door een AV-company nu een trojan is gedubbed of niet) noemen in deze context, is misleidend want die naam wijst erop dat er iets (anbders) met opzet door een nietsvermoedend persoon is geïnstalleerd en dat daarbij de malware is meegekomen. En dat is niet de manier waarop deze malware op de PC's terecht komt.
En ja, als het een Linux- of Apple-computer was, dan mag je dat ook eerlijk vermelden.

[Reactie gewijzigd door kimborntobewild op 31 juli 2024 11:13]

et36s 1 februari 2014 19:46
het lijkt erop dat tegenwoordig alles al lang en breed gehackt is.
totaalgeenhard 2 februari 2014 05:04
RSA maakt zelf backdoors.... ze zijn daarin marktleider, geen enkel bedrijf/individu heeft meer geïnstalleerde backdoors als RSA.

De vraag is of er überhaupt een RSA encryptie is die GEEN voor hen bekende zwakte heeft.

Bij coca cola zijn er maar een aantal mensen die het recept kennen, bij RSA wellicht nog minder.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq