POS-Terminals über Remote-Desktop-Protokoll angegriffen

BrutPOS scannt Kassensysteme auf Transaktionsdaten

| Redakteur: Stephan Augsten

Offenbar lassen sich einige POS-Terminals über das Remote-Desktop-Protokoll angreifen.
Offenbar lassen sich einige POS-Terminals über das Remote-Desktop-Protokoll angreifen. (Bild: alexbayte - Fotolia.com)

Administrationslösungen für Kassensysteme sind oft nur mit einem einfachen Standardpasswort abgesichert. Diesen Umstand macht sich die Malware „BrutPOS“ zunutze, warnt der Sicherheitsspezialist FireEye. BrutPOS greift über das Remote-Desktop-Protokoll auf Kassenterminals zu, um Zahlungsinformationen auszuspähen.

Die Sicherheitsforscher von FireEye haben die Malware „BrutPOS“ analysiert, die es auf Kassensysteme abgesehen hat. Der Einfachheit halber initiieren die Entwickler des Schadcodes ihre Angriffe über das vorhandene Remote-Desktop-Protokoll, mit dessen Hilfe die POS-Terminals (Point of Sale) administriert werden.

Die Attacken werden oft durch zu einfache Passwörter innerhalb der Administrationssoftware begünstigt. BrutPOS scannt tausende Kassenterminals, auf denen das Remote-Desktop-Protokoll aktiv ist, und sendet die Daten an einen Command-and-Control-Server. Anschließend sucht die Malware nach Systemen mit einfachen und standardisierten Passwörtern.

Erstmals trat BrutPOS im März dieses Jahres in Erscheinung, das Ausmaß der Bedrohung wurde laut FireEye jedoch erst im Laufe der Zeit deutlich. Die Sicherheitsexperten konnten bisher nicht genau klären, wie sich die Malware verbreitet. Sie vermuten, dass die Angreifer mit anderen Cyber-Kriminellen zusammenarbeiten, um den Schadcode in Umlauf zu bringen.

FireEye hat insgesamt fünf Command-and-Control-Server gefunden, die vom BrutPOS-Botnet genutzt werden. Drei von ihnen stammen aus einem russischen Netzwerk, jeweils ein weiterer aus dem Iran und aus Deutschland. Aktuell sind nur noch zwei der russischen Server aktiv. Während der Untersuchung von FireEye haben die Angreifer mit dem Botnet 5622 Computer in 119 Ländern angegriffen, in 57 Fällen war die Suche nach einfachen Passwort-Kombinationen von Erfolg gekrönt

Erste Varianten von BrutPOS dienten offenbar nur als Machbarkeitsbeweis (Proof of Concept). Während der Untersuchung hat FireEye aber eine neue Funktion entdeckt, die über den bloßen Angriff hinausgeht: Auf infizierten Kassensystemen späht die neue Malware-Variante die bei Zahlungsvorgängen übermittelten Daten aus, darunter auch Kreditkarteninformationen. Darüber hinaus scannt das Programm auch den Speicher des POS-Terminals.

Die Wahl eines stärkeren Passworts reicht bereits aus, um einer Infektion durch BrutPOS vorzubeugen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42824562 / Malware)