Neue POS-Malware PinkKite entdeckt

Forscher haben eine neue Point-of-Sales-Malware namens PinkKite entdeckt. Die Malware soll zwar winzig klein sein, jedoch kann sie den POS-Endpoints einen schweren Schaden zufügen.

Forscher von Kroll Cyber Security identifizierten PinkKite erstmals im Jahr 2017 während einer neunmonatigen Untersuchung einer großen POS-Malware-Kampagne, die im Dezember endete. Es wird angenommen, dass in dieser Kampagne PinkKite zum ersten Mal auftrat, so die Forscher Courtney Dayter und Matt Bromiley, die ihre Ergebnisse auf dem Security Analyst Summit von Kaspersky Lab am Freitag präsentierten.

PinkKite ist weniger als 6k groß und ähnelt anderen kleinen POS-Malware-Familien wie TinyPOS und AbaddonPOS. Ähnlich wie bei den kleinen Malware-Familien nutzt PinkKite seinen winzigen Footprint, um eine Erkennung zu verhindern und ist mit Speicher-Scraping- und Datenvalidierungstools ausgestattet.

"PinkKite unterscheidet sich durch seine eingebauten Persistenzmechanismen, die fest codierte Doppel-XOR-Verschlüsselung (verwendet für Kreditkartennummern) und die Backend-Infrastruktur, die eine Clearingstelle verwendet, um Daten abzugreifen.", so Dayter.

Kriminelle hinter der PinkKite-Kampagne nutzten drei Clearing-Häuser (oder Depots) in Südkorea, Kanada und den Niederlanden, um Daten zu senden. In der Regel sendet POS-Malware Daten direkt an einen C2-Server.

"Aus Sicht der Malware-Sammlung war es wahrscheinlich für Gegner einfacher, Daten an Clearinghäuser zu senden. Vielleicht hat es ihnen auch geholfen, ein wenig Abstand zu den POS-Terminals zu halten. ", sagte Bromiley.

Die ausführbare Namenskonvention von PinkKite versuchte sich als legitimes Windows-Programm mit Namen wie Svchost.exe, Ctfmon.exe und AG.exe zu tarnen. Insgesamt identifizierte Kroll mehrere PinkKite-Familien. "Eine Whitelist-Version (von PinkKite) enthielt eine Liste von Prozessen, auf die sie beabsichtigt abzielte. Die Black-List-Version beinhaltete eine Liste von Prozessen, die sie ignorierte ", erklärte Bromiley.

Sobald die Kreditkartendaten aus dem Systemspeicher gelöscht wurden, verwendet PinkKite einen Luhn-Algorithmus, um Kredit- und Debitkartennummern zu validieren. Um die Analyse und Erkennung weiter zu erschweren, fügt PinkKite eine weitere Verschleierungsschicht über eine Doppel-XOR-Operation hinzu, die die 16 Ziffern der Kreditkartennummer mit einem vordefinierten Schlüssel codiert. Als nächstes werden Kreditkartendaten in komprimierten Dateien mit Namen wie .f64, .n9 oder .sha64 gespeichert. Diese Datensätze können jeweils bis zu 7.000 Kreditkartennummern enthalten und werden regelmäßig manuell über eine separate Remote Desktop Protocol (RDP) -Sitzung an eines der drei PinkKite Clearinghäuser gesendet.

"Nachdem die Daten von PinkKite entnommen worden waren, wurden sie in eine Datei auf einem Remote-System geschrieben. Diese entfernten "Sammelsysteme" dienten als zentrale Sammelstellen (Clearinghäuser) für Hunderte oder Tausende von Malware-Ausgabedateien.", erklärte Dayter.

Kroll teilt nicht viele Details bezüglich der Gruppe hinter PinkKite mit, abgesehen von der Infektionstechnik, mit der die POS-Malware auf Endpoints installiert wurde. Den Forschern zufolge haben die Hacker wahrscheinlich ein Hauptsystem infiltriert und von dort PsExec verwendet, um sich seitlich über die Netzwerkumgebung des Unternehmens zu bewegen. Die Hacker identifizierten dann den LSASS (Local Security Authority Subsystem Service) und extrahierten die Anmeldeinformationen mit Mimikatz. Sobald Systeme kompromittiert waren, wurden die Angreifer aktiv, um die Kreditkartendaten über die RDP-Sitzung zu entfernen.

Dayter und Bromiley sagten, dass sie einen Hinweis auf die Infektion erhielten, weil ein Kunde darauf hingewiesen worden sei, dass die Kreditkarten seiner Kunden auf dem Schwarzmarkt verkauft würden. Der Name PinkKite folgt Krolls Malware-Namenskonvention und wurde vom Unternehmen zufällig ausgewählt. Es gibt keine Verbindungen zum Namen der Malware und zur Malware selbst.

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.