image

"Windows-malware op kassa's Home Depot aangetroffen"

maandag 8 september 2014, 16:02 door Redactie, 2 reacties

Op verschillende kassa's van de Amerikaanse doe-het-zelf-keten Home Depot is malware aangetroffen die in staat is om creditcardgegevens van klanten te stelen, zo laten anonieme bronnen die met het onderzoek bekend zijn tegenover IT-journalist Brian Krebs weten.

Vorige week werd bekend dat er mogelijk sprake van grootschalige creditcarddiefstal bij Home Depot is. Het bedrijf, dat zo'n 2.000 vestigingen in de Verenigde Staten heeft, verklaarde dat er verdachte activiteit was waargenomen, maar heeft nog altijd niet bevestigd dat er inderdaad betaalkaartgegevens zijn gestolen. Bronnen die met het onderzoek bekend stellen dat er op sommige kassa's van Home Depot een nieuwe variant van de BlackPOS-malware is ontdekt. De malware infecteert kassasystemen die op Windows draaien en steelt vervolgens de betaalkaartgegevens van klanten die afrekenen.

Eind augustus kwam Trend Micro nog met het nieuws dat het een nieuwe variant van BlackPOS had ontdekt. Deze variant vermomt zichzelf als een service van een bekende anti-virusleverancier om detectie te voorkomen. Eerdere versies gebruikten services die door het aangevallen bedrijf in kwestie waren geïnstalleerd. Ook gebruikte de malware een nieuwe routine voor het vinden van kaartgegevens in het geheugen van de kassa.

"In één van de grootste beveiligingsincidenten die we in 2013 hebben gezien, hebben de verantwoordelijke cybercriminelen de verzamelde data eerst op een gehackte server geplaatst, terwijl andere malware op de gecompromitteerde server het naar de FTP uploadde. We vermoeden dat deze nieuwe BlackPOS-malware dezelfde tactiek gebruikt", aldus de onderzoekers, die daarmee zeer vermoedelijk naar de inbraak bij de Amerikaanse keten Target wijzen. Daar werden de gegevens van 40 miljoen betaalkaarten gestolen.

Reacties (2)
08-09-2014, 16:29 door Anoniem
Met goede access control kan de malware niet communiceren met de buitenwereld..... ?
08-09-2014, 18:14 door Anoniem
Kassa's communiceren met een centrale server voor softwareupdates en doorgeven van ontvangen gelden en verkochte artikelen. De aanvallers hebben toegang tot de centrale server verkregen via een andere computer in het netwerk dat wel toegang heeft tot het internet. Duidelijk niet goed gedacht over segmentatie van het netwerk, net als bij DigiNotar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.