Onderzoeker ontdekt nieuwe malware voor betaalsystemen

Beveiligingsonderzoeker Nick Hoffman, die zich vooral richt op reverse engineering, heeft een nieuwe malwarevariant ontdekt die zich richt op betaalsystemen. De Getmypass-malware richt zich op het buitmaken van creditcarddata uit het werkgeheugen.

De malware is een zogeheten ram scraper, waarbij het werkgeheugen van bijvoorbeeld een betaalterminal wordt nagelopen op de aanwezigheid van creditcardgegevens. Getmypass controleert vervolgens de verzamelde data om vervolgens relevante gegevens versleuteld op te slaan.

Volgens Hoffman is de Getmypass nog niet geheel compleet: de malware mist nog diverse onderdelen, bijvoorbeeld een essentiële module om commando's van de aanvallers te ontvangen vanaf een zogeheten command-and-control-server. Ook de mogelijkheid om verzamelde creditcardgegevens vanuit een lokale logfile door te sturen is nog niet aanwezig. De kwaadaardige code is wel in staat om onzichtbaar te blijven voor 55 virusscanners via tests op de site VirusTotal en hij heeft een certificaat van de firma 'Bargaining active' om zich zo voor te doen als legitieme software.

Ondanks dat de malware nog onvoldoende onderdelen heeft om voor criminelen nuttig te zijn, stelt Hoffman dat de vroege code van Getmypass interessant is om te bestuderen. Zo kunnen onderzoekers nagaan hoe dergelijke malware verder uitgebouwd wordt en of de bouwers van dergelijke malware nieuwe technieken toepassen.

Zogeheten point-of-sale-malware is met name in de Verenigde Staten een probleem, mede door de populariteit van creditcards en verouderde beveiligingsmechanismes. Zo werd begin dit jaar bekend dat bij de Amerikaanse winkelketen Target 70 miljoen creditcardgegevens waren gestolen door hackers via het betaalsysteem van het bedrijf.

Door Dimitri Reijerman

Redacteur

Feedback • 28-11-2014 14:47 28

28-11-2014 • 14:47

28

Lees meer

Hackers breken in op webwinkel Acer
Hackers breken in op webwinkel Acer Nieuws van 18 juni 2016
LaCie: hackers konden jaar lang creditcard-betalingen inzien
LaCie: hackers konden jaar lang creditcard-betalingen inzien Nieuws van 15 april 2014
RSA ontdekt ChewBacca-trojan voor stelen van creditcarddata
RSA ontdekt ChewBacca-trojan voor stelen van creditcarddata Nieuws van 31 januari 2014
FBI heeft toegang tot alle accounts anonieme webmaildienst TorMail
FBI heeft toegang tot alle accounts anonieme webmaildienst TorMail Nieuws van 27 januari 2014
'Meer Amerikaanse winkelketens zijn slachtoffer hackaanvallen'
'Meer Amerikaanse winkelketens zijn slachtoffer hackaanvallen' Nieuws van 12 januari 2014
Hackers maakten ook 70 miljoen klantgegevens buit bij winkelketen Target
Hackers maakten ook 70 miljoen klantgegevens buit bij winkelketen Target Nieuws van 10 januari 2014
'Aanvallers kraakten kassa's Amerikaanse winkelketen'
'Aanvallers kraakten kassa's Amerikaanse winkelketen' Nieuws van 19 december 2013
Politie pakt student op wegens verspreiden ransomware
Politie pakt student op wegens verspreiden ransomware Nieuws van 22 september 2013
Twee Russen opgepakt in Nederland voor 'grootste datalek ooit'
Twee Russen opgepakt in Nederland voor 'grootste datalek ooit' Nieuws van 26 juli 2013
'Oost-Europese criminelen kraken Amerikaanse betaalautomaten'
'Oost-Europese criminelen kraken Amerikaanse betaalautomaten' Nieuws van 28 maart 2013
Nederlandse hacker krijgt in VS 12 jaar cel voor creditcardfraude
Nederlandse hacker krijgt in VS 12 jaar cel voor creditcardfraude Nieuws van 2 februari 2013
Meer producten en artikelen
Netwerk en systeembeheer Malware

Reacties (27)

-Moderatie-faq
27
26
15
0
0
11
Wijzig sortering
XLord 28 november 2014 15:05
waarom zou je je nieuwe half afgewerkte malware de wereld in sturen als je daarmee alleen maar het risico loopt dat het gevonden wordt en je dus kans hebt dat je minder succesvol bent als het wel afgewerkt is :S
svennd @XLord28 november 2014 15:09
Field testing ? :-)
watercoolertje
@XLord28 november 2014 15:14
Misschien een foutje? Je moet het toch testen, en als het ontsnapt zit er vast geen rem om :)
Bosmonster 28 november 2014 14:50
Zo kunnen onderzoekers nagaan hoe dergelijke malware verder uitgebouwd wordt
Vraag me af of er nu nog zo actief doorgesleuteld gaat worden, nu het bekend is..
Astrix @Bosmonster28 november 2014 15:06
Er wordt wel door gesleuteld, maar de wereld is zo afhankelijk geworden van dergelijke betaalsystemen, dat de bestrijding van misbruik, een wedloop is geworden tussen, de hackers en de bestrijders......het werkelijke probleem is, dat het internet nooit echt is ontworpen voor het doen dergelijke financiële activiteiten. En daardoor lopen de hackers steeds weer een stap voor....het blijft een constante wedloop...waarbij de bestrijders steeds weer achter de (nieuwe) feiten aanlopen,
DjBiohazard91 @Astrix28 november 2014 15:26
Ik denk dat je toch echt scammers bedoeld, in plaats van hackers?
PuzzleSolver @DjBiohazard9128 november 2014 15:52
Zijn het niet de scammers die tools gebruiken die gemaakt zijn door hackers?

De wapenwedloop lijkt mij inderdaad tussen de hackers en de bestrijders te gaan. Maar goed hoe je het noemt doet ook niets af aan zijn stelling.
De kwaadaardige code is wel in staat om onzichtbaar te blijven voor 55 virusscanners
Dit is een conclusie van de tweakers schrijver. In de bron staat dat de kwaadwillende code niet herkend wordt door 55 virusscanners. Dat heeft niets met zichzelf onzichtbaar maken te maken, het kan net zo goed zijn dat viruscanners hier nog niet op scannen.

Als ik door de beschrijving van de bron lees (ik ben zelf programmeur en lees daar eigenlijk weinig onbekende technieken) dan zou deze tool net zo goed gebruikt kunnen worden om een executable te scannen op leaks via memory. In ieder geval wel een tool om in de gaten te houden.
svennd 28 november 2014 14:57
Het is echt beetje angstig om te zien hoe goed de hacks worden, ze kunnen echt "onderzocht" worden... nog even en we weten niet meer hoe het allemaal nog samen werkt...
dehardstyler @svennd28 november 2014 15:06
Niet alleen de malware wordt slimmer, maar natuurlijk ook de onderzoekers. Als ze dit nieuws niet naar buiten hadden gebracht, hadden ze ook nog de in aanbouw zijnde onderdelen kunnen bestuderen. Maar ik denk dat dit project voor de hackers wel voorbij is.
Neko Koneko @dehardstyler28 november 2014 15:12
Inderdaad, naarmate computer systemen geavanceerder worden, zal de software, en dus ook de malware, hierin meegroeien. Moeten we ons nu direct zorgen gaan maken? Ik denk niet meer dan normaal. Het is immers niet iets nieuws dat betaal terminals worden gebruikt om gegevens af te tappen, skimmen wordt inderdaad ook al jaren gedaan. Dit is eigenlijk een nieuwe manier om hetzelfde resultaat te bereiken, maar het uiteindelijke resultaat is hetzelfde.

Dus nu skimmen steeds moeilijker gemaakt wordt, is het aan de fabrikanten van deze terminals om de beveiliging in de software verder op te schroeven. Vervolgens zullen hackers deze weer kraken, en zo blijven ze het kat-en-muis spelletje spelen.
MarcoC 28 november 2014 15:09
Dit soort malware is geen gevaar in Nederland en andere landen waar moderne betaaltecnieken gebruikt worden. Hier maken we gebruik van de chip in de betaalpas die de authenticiteit van de betaalpas garandeert. Het is dus niet mogelijk om in Nederland met opgeslagen data uit een betaalterminal een transactie na te bootsen.

In de VS is dit een groter probleem omdat vaak het PAN van de credit card voldoende is om een transactie te voltooien (in combinatie met een handtekening wat natuurlijk niet erg veilig is). Echter zal dat daar ook spoedig minder worden omdat in oktober 2015 de "EMV liability shift" plaatsvindt, waardoor winkeliers aansprakelijk worden voor fraude als ze geen betaalterminal hebben die betalen met chip (= EMV) ondersteunt.
scsirob @MarcoC28 november 2014 15:12
Heb jij j creditcard wel eens gebruikt om in Amerika iets te kopen? Dan blijkt dat jouw kaart daar zonder al onze waarborgen gewoon geaccepteerd wordt. Zelfs de CVC wordt vaak niet gevraagd en toch wordt de betaling geaccepteerd.

Dus als een memory scraper jouw valide kaartnummer, naam en exp date weet te vinden dan kan daar in het buitenland heel wat mee afgerekend worden.
MarcoC @scsirob28 november 2014 15:14
Ik zeg toch ook dat dit soort malware geen gevaar is in Nederland :P . Dat betekent niet dat Nederlandse kaarten niet in het buitenland ten prooi kunnen vallen aan dit soort aanvallen.
Helixes @scsirob28 november 2014 15:23
In Nederland is de credit card niet echt een veel voorkomend betaalmiddel. Hoewel het in theorie mogelijk zou kunnen zijn voldoende gegevens uit een betaalterminal te extraheren voor card abuse middels deze methode, moet je ook bedenken dat criminelen hun tijd liever besteden aan een operatiegebied met een hogere credit card penetratie. Noord-Amerika voorop, uiteraard. We hebben het hier naar alle waarschijnlijkheid overgeorganiseerde misdaad. In Nederland worden de voetsoldaten denk ik elders veel efficiënter ingezet ;)
Powermage @Helixes28 november 2014 15:31
Een nederlandse terminal verwerkt de voor abuse gevoelige gegevens in de terminal zelf en niet in het geheugen van de kassa.
keigezellig123 @Powermage28 november 2014 16:46
En zelfs deze gegevens mogen alleen in een beveiligd gedeelte van de terminal 'bestaan' en verwerkt worden. Deze gegevens mogen nooit onversleuteld dit gedeelte verlaten (zoek maar eens op SRED)
Voor communicatie met de transactieverwerker (acquirer) waar deze gegevens nodig zijn worden altijd een versleutelde versie gebruikt
Powermage @MarcoC28 november 2014 15:25
Het gevaar zit niet in dat wij die chip gebruiken, het gaat erom dat in de USA de transactie verwerking uitgevoerd word door de kassa computer dmv een stukje software, en die details zijn dmv ram scrapers uit te lezen.
Powermage 28 november 2014 15:10
Gelukkig dat in Nederland dit soort aanvallen vrijwel waardeloos zijn aangezien 99,9% van de terminals op zichzelfstaand zijn op dit vlak en alleen maar de betaal info uitwisselen met de kassa.
MarcoC @Powermage28 november 2014 15:18
Niet helemaal waar. Denk maar aan parkeerautomaten, de zelfscankassa's bij de AH, etc. Zijn er best veel.

[Reactie gewijzigd door MarcoC op 23 juli 2024 01:45]

Powermage @MarcoC28 november 2014 15:24
De automaat zit dan wel in die machine gebouwd maar is in de meeste gevallen gewoon een standaard model, die hebben een eigen netwerkaansluiting voor de communicatie, het systeem er achter communiceert alleen maar betaal gegevens/transactie gegevens (dus de 'kassa' zend een bedrag, de terminal verwerkt het en communiceert wat gegevens terug (denk aan betaalpas type, een geslaagd of mislukt, een deel van het rekeningnummer, bedrag, en een transactiecode)

edit: even snel gegoogled, maar als ik de plaatjes zo zie zit er in de zelfscan kassas van AH gewoon een Atos (Banksys) Xenteo ingebouwd.

[Reactie gewijzigd door Powermage op 23 juli 2024 01:45]

HMC 28 november 2014 17:34
Beetje offtopic, maar wat vinden Tweakers van Online Virus scanners?

Zo'n Virus Total is wel mooi omdat je zelf een bestand kan uploaden om het laten scannen.
Maar dat het gratis is, zegt toch ook wel wat. Niet?

Ik zal zeker niet een batch uploaden. En al helemaal niet mijn complete HDD inhoud.
Then again, mijn Avast is ook gratis. :P :S

Verder. Dit is de toekomst van cyber crime zolang we nog allemaal vastzitten in dit duffe geldsysteem.
Het doet je bijna verlangen naar een totale crash van het huidige geldsysteem.

Exploitatie van mensen voornamelijk door overheden (lokaal en nationaal en internationaal) is echt overal over de wereld te zien.
Voornamelijk overheden gebruiken hun "macht" om totaal onschendbaar samen te werken met de grofste criminelen en onderwereld organisaties.
Ik hoop echt dat er een dag komt dat de politie en/of het leger eindelijk zich eens gewoon omdraaien en weer aan de zijde van het volk staan.
Maar nee, want de hogere gasten die op kantoor zitten, laten de Dollars naar beneden vloeien.

Ik zal een voorbeeld linken die ik zomaar vandaag weer eens tegenkwam. Niet al te optimistisch:
https://www.youtube.com/w...=UUNye-wNBqNL5ZzHSJj3l8Bg

Zolang mensen meer kunnen bewerkstelligen in het leven met meer Dollars, goedschiks of kwaadschiks, zullen er "scams" zijn. En dan vind ik persoonlijk een CC scam nog klein vergeleken met de echte exploitaties die er gaande zijn.

Maar waarom doen die mensen, die gekozen vertegenwoordigers dat? Zelfs tegen hun eigen landgenoten? Die ze zouden moeten vertegenwoordigen, om samen een sterkere natie te bouwen? Voor slechts een simpele reden: Meer Dollars.

Mensen met meer Dollars zullen meer rechten en privileges genieten.
Dus de (onderwereld) productie van dit soort programma's gaat gewoon door.
Want hoogstwaarschijnlijk krijg je er meer Dollars mee.
En vergeet niet, de meeste mensen die genoeg Dollars hebben om zo'n programma te kopen, hoeven niet te huilen als je er niets mee binnenharkt

Dat er nu bekendheid over is, zal daar niets aan veranderen, zolang het Dollars oplevert.
434365 28 november 2014 17:45
Volgens Hoffman is de Getmypass nog niet geheel compleet: de malware mist nog diverse onderdelen, bijvoorbeeld een essentiële module om commando's van de aanvallers te ontvangen vanaf een zogeheten command-and-control-server. Ook de mogelijkheid om verzamelde creditcardgegevens vanuit een lokale logfile door te doorsturen is nog niet aanwezig.
...
Ondanks dat de malware nog onvoldoende onderdelen heeft om voor criminelen nuttig te zijn
Dit vind ik een heel intressante stelling, het moge duidelijk zijn dat de meeste malware uiteindelijk 'opgerold' word juist door C&C servers over te nemen (of een sinkhole te maken voor de ip's daarvan) Dus ik zou dan zeggen, misschien dat de makers van deze malware een andere manier van aansturing hebben gevonden? of simpelweg gewoon plannen om na een bepaalde periode overal handmatig bestanden op te gaan halen?
Only5left 28 november 2014 15:07
Toch maar blij dat hier de pinpas iets veiliger werkt, of op z'n minst minder getarget wordt..
MAX3400 @Only5left28 november 2014 15:19
Wat dan weer opvallend is; de meeste CC's in NL worden uitgegeven met een standaard-limiet tot 500 Euro. Pinpassen (zeker een verlenging van een bestaande pas) zijn veelal door de klant zelf een keer verhoogd om grotere aankopen te kunnen doen.

Vandaar dat het afkijken van pin-codes en het stelen van pinpassen zo populair is; regelmatig lees je in het nieuws dat er iemand voor duizenden Euro's het schip in is gegaan.
Powermage @MAX340028 november 2014 15:30
Ik heb nu al wat verschillende CC's gehad, maar meestal altijd standaard boven de 1000 euro aan limiet gehad eigenlijk (soms zelfs hoger dat ik t zelf terug liet zetten)
Anoniem: 293614 @MAX340028 november 2014 18:11
Ik heb 2 CC's Visa en Mastercard. Beide zijn uitgegeven met een limiet van 1000 euro. Mijn bankpas is uitgegeven met een limiet van 1000 euro. Bankpas heb ik laten terugzetten naar 250 euro.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq