Suchen

POS-Terminals über Remote-Desktop-Protokoll angegriffen BrutPOS scannt Kassensysteme auf Transaktionsdaten

| Redakteur: Stephan Augsten

Administrationslösungen für Kassensysteme sind oft nur mit einem einfachen Standardpasswort abgesichert. Diesen Umstand macht sich die Malware „BrutPOS“ zunutze, warnt der Sicherheitsspezialist FireEye. BrutPOS greift über das Remote-Desktop-Protokoll auf Kassenterminals zu, um Zahlungsinformationen auszuspähen.

Firma zum Thema

Offenbar lassen sich einige POS-Terminals über das Remote-Desktop-Protokoll angreifen.
Offenbar lassen sich einige POS-Terminals über das Remote-Desktop-Protokoll angreifen.
(Bild: alexbayte - Fotolia.com)

Die Sicherheitsforscher von FireEye haben die Malware „BrutPOS“ analysiert, die es auf Kassensysteme abgesehen hat. Der Einfachheit halber initiieren die Entwickler des Schadcodes ihre Angriffe über das vorhandene Remote-Desktop-Protokoll, mit dessen Hilfe die POS-Terminals (Point of Sale) administriert werden.

Die Attacken werden oft durch zu einfache Passwörter innerhalb der Administrationssoftware begünstigt. BrutPOS scannt tausende Kassenterminals, auf denen das Remote-Desktop-Protokoll aktiv ist, und sendet die Daten an einen Command-and-Control-Server. Anschließend sucht die Malware nach Systemen mit einfachen und standardisierten Passwörtern.

Erstmals trat BrutPOS im März dieses Jahres in Erscheinung, das Ausmaß der Bedrohung wurde laut FireEye jedoch erst im Laufe der Zeit deutlich. Die Sicherheitsexperten konnten bisher nicht genau klären, wie sich die Malware verbreitet. Sie vermuten, dass die Angreifer mit anderen Cyber-Kriminellen zusammenarbeiten, um den Schadcode in Umlauf zu bringen.

FireEye hat insgesamt fünf Command-and-Control-Server gefunden, die vom BrutPOS-Botnet genutzt werden. Drei von ihnen stammen aus einem russischen Netzwerk, jeweils ein weiterer aus dem Iran und aus Deutschland. Aktuell sind nur noch zwei der russischen Server aktiv. Während der Untersuchung von FireEye haben die Angreifer mit dem Botnet 5622 Computer in 119 Ländern angegriffen, in 57 Fällen war die Suche nach einfachen Passwort-Kombinationen von Erfolg gekrönt

Erste Varianten von BrutPOS dienten offenbar nur als Machbarkeitsbeweis (Proof of Concept). Während der Untersuchung hat FireEye aber eine neue Funktion entdeckt, die über den bloßen Angriff hinausgeht: Auf infizierten Kassensystemen späht die neue Malware-Variante die bei Zahlungsvorgängen übermittelten Daten aus, darunter auch Kreditkarteninformationen. Darüber hinaus scannt das Programm auch den Speicher des POS-Terminals.

Die Wahl eines stärkeren Passworts reicht bereits aus, um einer Infektion durch BrutPOS vorzubeugen.

(ID:42824562)