Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 28 reacties

Beveiligingsonderzoeker Nick Hoffman, die zich vooral richt op reverse engineering, heeft een nieuwe malwarevariant ontdekt die zich richt op betaalsystemen. De Getmypass-malware richt zich op het buitmaken van creditcarddata uit het werkgeheugen.

De malware is een zogeheten ram scraper, waarbij het werkgeheugen van bijvoorbeeld een betaalterminal wordt nagelopen op de aanwezigheid van creditcardgegevens. Getmypass controleert vervolgens de verzamelde data om vervolgens relevante gegevens versleuteld op te slaan.

Volgens Hoffman is de Getmypass nog niet geheel compleet: de malware mist nog diverse onderdelen, bijvoorbeeld een essentiële module om commando's van de aanvallers te ontvangen vanaf een zogeheten command-and-control-server. Ook de mogelijkheid om verzamelde creditcardgegevens vanuit een lokale logfile door te sturen is nog niet aanwezig. De kwaadaardige code is wel in staat om onzichtbaar te blijven voor 55 virusscanners via tests op de site VirusTotal en hij heeft een certificaat van de firma 'Bargaining active' om zich zo voor te doen als legitieme software.

Ondanks dat de malware nog onvoldoende onderdelen heeft om voor criminelen nuttig te zijn, stelt Hoffman dat de vroege code van Getmypass interessant is om te bestuderen. Zo kunnen onderzoekers nagaan hoe dergelijke malware verder uitgebouwd wordt en of de bouwers van dergelijke malware nieuwe technieken toepassen.

Zogeheten point-of-sale-malware is met name in de Verenigde Staten een probleem, mede door de populariteit van creditcards en verouderde beveiligingsmechanismes. Zo werd begin dit jaar bekend dat bij de Amerikaanse winkelketen Target 70 miljoen creditcardgegevens waren gestolen door hackers via het betaalsysteem van het bedrijf.

Moderatie-faq Wijzig weergave

Reacties (28)

waarom zou je je nieuwe half afgewerkte malware de wereld in sturen als je daarmee alleen maar het risico loopt dat het gevonden wordt en je dus kans hebt dat je minder succesvol bent als het wel afgewerkt is :S
Field testing ? :-)
Misschien een foutje? Je moet het toch testen, en als het ontsnapt zit er vast geen rem om :)
Zo kunnen onderzoekers nagaan hoe dergelijke malware verder uitgebouwd wordt
Vraag me af of er nu nog zo actief doorgesleuteld gaat worden, nu het bekend is..
Er wordt wel door gesleuteld, maar de wereld is zo afhankelijk geworden van dergelijke betaalsystemen, dat de bestrijding van misbruik, een wedloop is geworden tussen, de hackers en de bestrijders......het werkelijke probleem is, dat het internet nooit echt is ontworpen voor het doen dergelijke financiŽle activiteiten. En daardoor lopen de hackers steeds weer een stap voor....het blijft een constante wedloop...waarbij de bestrijders steeds weer achter de (nieuwe) feiten aanlopen,
Ik denk dat je toch echt scammers bedoeld, in plaats van hackers?
Zijn het niet de scammers die tools gebruiken die gemaakt zijn door hackers?

De wapenwedloop lijkt mij inderdaad tussen de hackers en de bestrijders te gaan. Maar goed hoe je het noemt doet ook niets af aan zijn stelling.
De kwaadaardige code is wel in staat om onzichtbaar te blijven voor 55 virusscanners
Dit is een conclusie van de tweakers schrijver. In de bron staat dat de kwaadwillende code niet herkend wordt door 55 virusscanners. Dat heeft niets met zichzelf onzichtbaar maken te maken, het kan net zo goed zijn dat viruscanners hier nog niet op scannen.

Als ik door de beschrijving van de bron lees (ik ben zelf programmeur en lees daar eigenlijk weinig onbekende technieken) dan zou deze tool net zo goed gebruikt kunnen worden om een executable te scannen op leaks via memory. In ieder geval wel een tool om in de gaten te houden.
Het is echt beetje angstig om te zien hoe goed de hacks worden, ze kunnen echt "onderzocht" worden... nog even en we weten niet meer hoe het allemaal nog samen werkt...
Niet alleen de malware wordt slimmer, maar natuurlijk ook de onderzoekers. Als ze dit nieuws niet naar buiten hadden gebracht, hadden ze ook nog de in aanbouw zijnde onderdelen kunnen bestuderen. Maar ik denk dat dit project voor de hackers wel voorbij is.
Inderdaad, naarmate computer systemen geavanceerder worden, zal de software, en dus ook de malware, hierin meegroeien. Moeten we ons nu direct zorgen gaan maken? Ik denk niet meer dan normaal. Het is immers niet iets nieuws dat betaal terminals worden gebruikt om gegevens af te tappen, skimmen wordt inderdaad ook al jaren gedaan. Dit is eigenlijk een nieuwe manier om hetzelfde resultaat te bereiken, maar het uiteindelijke resultaat is hetzelfde.

Dus nu skimmen steeds moeilijker gemaakt wordt, is het aan de fabrikanten van deze terminals om de beveiliging in de software verder op te schroeven. Vervolgens zullen hackers deze weer kraken, en zo blijven ze het kat-en-muis spelletje spelen.
Dit soort malware is geen gevaar in Nederland en andere landen waar moderne betaaltecnieken gebruikt worden. Hier maken we gebruik van de chip in de betaalpas die de authenticiteit van de betaalpas garandeert. Het is dus niet mogelijk om in Nederland met opgeslagen data uit een betaalterminal een transactie na te bootsen.

In de VS is dit een groter probleem omdat vaak het PAN van de credit card voldoende is om een transactie te voltooien (in combinatie met een handtekening wat natuurlijk niet erg veilig is). Echter zal dat daar ook spoedig minder worden omdat in oktober 2015 de "EMV liability shift" plaatsvindt, waardoor winkeliers aansprakelijk worden voor fraude als ze geen betaalterminal hebben die betalen met chip (= EMV) ondersteunt.
Heb jij j creditcard wel eens gebruikt om in Amerika iets te kopen? Dan blijkt dat jouw kaart daar zonder al onze waarborgen gewoon geaccepteerd wordt. Zelfs de CVC wordt vaak niet gevraagd en toch wordt de betaling geaccepteerd.

Dus als een memory scraper jouw valide kaartnummer, naam en exp date weet te vinden dan kan daar in het buitenland heel wat mee afgerekend worden.
Ik zeg toch ook dat dit soort malware geen gevaar is in Nederland :P . Dat betekent niet dat Nederlandse kaarten niet in het buitenland ten prooi kunnen vallen aan dit soort aanvallen.
In Nederland is de credit card niet echt een veel voorkomend betaalmiddel. Hoewel het in theorie mogelijk zou kunnen zijn voldoende gegevens uit een betaalterminal te extraheren voor card abuse middels deze methode, moet je ook bedenken dat criminelen hun tijd liever besteden aan een operatiegebied met een hogere credit card penetratie. Noord-Amerika voorop, uiteraard. We hebben het hier naar alle waarschijnlijkheid overgeorganiseerde misdaad. In Nederland worden de voetsoldaten denk ik elders veel efficiŽnter ingezet ;)
Een nederlandse terminal verwerkt de voor abuse gevoelige gegevens in de terminal zelf en niet in het geheugen van de kassa.
En zelfs deze gegevens mogen alleen in een beveiligd gedeelte van de terminal 'bestaan' en verwerkt worden. Deze gegevens mogen nooit onversleuteld dit gedeelte verlaten (zoek maar eens op SRED)
Voor communicatie met de transactieverwerker (acquirer) waar deze gegevens nodig zijn worden altijd een versleutelde versie gebruikt
Het gevaar zit niet in dat wij die chip gebruiken, het gaat erom dat in de USA de transactie verwerking uitgevoerd word door de kassa computer dmv een stukje software, en die details zijn dmv ram scrapers uit te lezen.
Gelukkig dat in Nederland dit soort aanvallen vrijwel waardeloos zijn aangezien 99,9% van de terminals op zichzelfstaand zijn op dit vlak en alleen maar de betaal info uitwisselen met de kassa.
Niet helemaal waar. Denk maar aan parkeerautomaten, de zelfscankassa's bij de AH, etc. Zijn er best veel.

[Reactie gewijzigd door MarcoC op 28 november 2014 15:19]

De automaat zit dan wel in die machine gebouwd maar is in de meeste gevallen gewoon een standaard model, die hebben een eigen netwerkaansluiting voor de communicatie, het systeem er achter communiceert alleen maar betaal gegevens/transactie gegevens (dus de 'kassa' zend een bedrag, de terminal verwerkt het en communiceert wat gegevens terug (denk aan betaalpas type, een geslaagd of mislukt, een deel van het rekeningnummer, bedrag, en een transactiecode)

edit: even snel gegoogled, maar als ik de plaatjes zo zie zit er in de zelfscan kassas van AH gewoon een Atos (Banksys) Xenteo ingebouwd.

[Reactie gewijzigd door Powermage op 28 november 2014 15:29]

Dit is tweakers geen dumpert. On topic: Blijf het toch bizarre dingen vinden die malware.
Beetje offtopic, maar wat vinden Tweakers van Online Virus scanners?

Zo'n Virus Total is wel mooi omdat je zelf een bestand kan uploaden om het laten scannen.
Maar dat het gratis is, zegt toch ook wel wat. Niet?

Ik zal zeker niet een batch uploaden. En al helemaal niet mijn complete HDD inhoud.
Then again, mijn Avast is ook gratis. :P :S

Verder. Dit is de toekomst van cyber crime zolang we nog allemaal vastzitten in dit duffe geldsysteem.
Het doet je bijna verlangen naar een totale crash van het huidige geldsysteem.

Exploitatie van mensen voornamelijk door overheden (lokaal en nationaal en internationaal) is echt overal over de wereld te zien.
Voornamelijk overheden gebruiken hun "macht" om totaal onschendbaar samen te werken met de grofste criminelen en onderwereld organisaties.
Ik hoop echt dat er een dag komt dat de politie en/of het leger eindelijk zich eens gewoon omdraaien en weer aan de zijde van het volk staan.
Maar nee, want de hogere gasten die op kantoor zitten, laten de Dollars naar beneden vloeien.

Ik zal een voorbeeld linken die ik zomaar vandaag weer eens tegenkwam. Niet al te optimistisch:
https://www.youtube.com/w...=UUNye-wNBqNL5ZzHSJj3l8Bg

Zolang mensen meer kunnen bewerkstelligen in het leven met meer Dollars, goedschiks of kwaadschiks, zullen er "scams" zijn. En dan vind ik persoonlijk een CC scam nog klein vergeleken met de echte exploitaties die er gaande zijn.

Maar waarom doen die mensen, die gekozen vertegenwoordigers dat? Zelfs tegen hun eigen landgenoten? Die ze zouden moeten vertegenwoordigen, om samen een sterkere natie te bouwen? Voor slechts een simpele reden: Meer Dollars.

Mensen met meer Dollars zullen meer rechten en privileges genieten.
Dus de (onderwereld) productie van dit soort programma's gaat gewoon door.
Want hoogstwaarschijnlijk krijg je er meer Dollars mee.
En vergeet niet, de meeste mensen die genoeg Dollars hebben om zo'n programma te kopen, hoeven niet te huilen als je er niets mee binnenharkt

Dat er nu bekendheid over is, zal daar niets aan veranderen, zolang het Dollars oplevert.
Volgens Hoffman is de Getmypass nog niet geheel compleet: de malware mist nog diverse onderdelen, bijvoorbeeld een essentiŽle module om commando's van de aanvallers te ontvangen vanaf een zogeheten command-and-control-server. Ook de mogelijkheid om verzamelde creditcardgegevens vanuit een lokale logfile door te doorsturen is nog niet aanwezig.
...
Ondanks dat de malware nog onvoldoende onderdelen heeft om voor criminelen nuttig te zijn
Dit vind ik een heel intressante stelling, het moge duidelijk zijn dat de meeste malware uiteindelijk 'opgerold' word juist door C&C servers over te nemen (of een sinkhole te maken voor de ip's daarvan) Dus ik zou dan zeggen, misschien dat de makers van deze malware een andere manier van aansturing hebben gevonden? of simpelweg gewoon plannen om na een bepaalde periode overal handmatig bestanden op te gaan halen?
Toch maar blij dat hier de pinpas iets veiliger werkt, of op z'n minst minder getarget wordt..
Wat dan weer opvallend is; de meeste CC's in NL worden uitgegeven met een standaard-limiet tot 500 Euro. Pinpassen (zeker een verlenging van een bestaande pas) zijn veelal door de klant zelf een keer verhoogd om grotere aankopen te kunnen doen.

Vandaar dat het afkijken van pin-codes en het stelen van pinpassen zo populair is; regelmatig lees je in het nieuws dat er iemand voor duizenden Euro's het schip in is gegaan.
Ik heb nu al wat verschillende CC's gehad, maar meestal altijd standaard boven de 1000 euro aan limiet gehad eigenlijk (soms zelfs hoger dat ik t zelf terug liet zetten)
Ik heb 2 CC's Visa en Mastercard. Beide zijn uitgegeven met een limiet van 1000 euro. Mijn bankpas is uitgegeven met een limiet van 1000 euro. Bankpas heb ik laten terugzetten naar 250 euro.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True