Definition

Kaptoxa

Kaptoxa (Ka-To-Scha ausgesprochen) ist eine Art POS-Malware (Point-of-Sale), die entwickelt wurde, um Bezahlsysteme zu kompromittieren.

Diese Malware liest den Arbeitsspeicher aus. Man glaubt, dass sie für diverse Datensicherheitsverletzungen bei großen Einzelhändlern im Jahre 2013 verantwortlich war. Dazu gehört auch der Angriff auf Zahlungsdaten von zirka 70 Millionen Kunden, die bei Target eingekauft haben. Es handelt sich hier um den zweitgrößten Discounter in den Vereinigten Staaten. Kaptoxa ist Russisch und Umgangssprache für „Kartoffel“. Deswegen wurde der Schadcode auch als „Kartoffel-Malware“ bezeichnet.

Kaptoxa wurde erschaffen, um sich in POS-Terminals einzunisten. Dort hat die Malware dann die von den Pyment-Anwendungen verarbeiteten Informationen überwacht. Die Security Best Practices der Kreditkartenbranche sehen vor, dass die Händler die Kreditkartendaten am POS verschlüsseln. In den meisten Fällen gibt es allerdings eine kurze Periode, bei der Kreditkarteninformationen unverschlüsselt im Arbeitsspeicher liegen. Das ist der Zeitpunkt, an dem Kaptoxa auf die Kreditkartendaten zugreifen und diese kopieren kann. Dazu gehören zum Beispiel die Nummern von Kreditkarten und anderen Bankkarten, PINs (Persönliche Identifikations-Nummer), Gültigkeitsdaten, E-Mail-Adressen, Adressen und Telefonnummern.

Sobald die Daten kopiert sind, bleiben sie für eine bestimmte Zeit auf den betroffenen POS-Terminals, bis sie an einer zentralen Stelle gesammelt werden. Beim Target-Einbruch hat die Malware die lokale Zeit alle sieben Stunden überprüft. War es zwischen zehn Uhr Morgens und fünf Uhr Abends, wurden die Informationen über einen temporären NetBIOS-Share zu einem internen Host innerhalb des kompromittierten Netzwerks geschickt. Als Ports dienten TCP 139, 443 oder 80. Von diesem Host haben die Angreifer einige FTP-Übertragungen verwendet, um die gestohlenen Daten zu erhalten.

Die Sicherheitsexperten von iSIGHT Partners haben zusammen mit dem U.S. Secret Service, dem Department of Homeland Security und dem Financial Service Information Sharing and Analysis Center einen Bericht veröffentlicht. Dort hat man bestätigt, dass Kaptoxa ein Abkömmling der BlackPOS-Malware und teilweise in Russisch geschrieben ist. Kaptoxa ist auch unter seinem Dateinamen „Trojan.POSRAM“ bekannt.

Im Januar 2014 hat iSIGHT eine Analyse durchgeführt, wonach kein einziges der getesteten kommerziellen Antimalware-Produkte Kaptoxa erkannt hat. Auch Target berichtet, dass keines seiner 40 kommerziellen Antimalware-Produkte Kaptoxa als schädlich eingestuft hat. Die Malware hat mehr als zwei Dutzend Antimalware-Tools umgangen, die von behördlichen Gutachtern in ihrer Analyse im Dezember 2013 eingesetzt haben. Somit wurde Kaptoxa als eine der skalierbarsten und fortschrittlichsten Malware-Instanzen aller Zeiten bezeichnet.

Diese Definition wurde zuletzt im Januar 2015 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

File Extensions and File Formats

Powered by:

ComputerWeekly.de

Close