Malware nutzt Tor-Netzwerk zum Stehlen von Kreditkartendaten

ChewBacca, über das die IT-Sicherheitsfirma Kaspersky erstmals im Dezember 2013 informierte, protokolliert Tastatureingaben und untersucht den Speicher des Rechners mit regulären Ausdrücken auf Kreditkartendaten. Jetzt berichtet die EMC-Tochter RSA in einem Blog-Beitrag, sie habe die Malware bei Einzelhändlern in elf Ländern gefunden. Dazu gehören die USA, Russland, Kanada und Australien. RSA habe die Software auf 119 Terminals bei 45 unterschiedlichen Händlern entdeckt, teilte die Firma per Mail mit. Weitere Details wollte sie nicht mitteilen und verweigerte auch eine Antwort auf die Frage, ob deutsche Firmen von dem Angriff betroffen seien.

Update 31.1. 16:10: RSA hat zwischenzeitlich durch seine deutsche Presseagentur mitteilen lassen, deutsche Unternehmen seien von ChewBacca bisher nicht betroffen.

Die nach einer Figur der Starwars-Filme benannte Software ist nach Angaben von Kaspersky in Free-Pascal geschrieben und tarnt sich gegenüber dem Gastbetriebssystem Windows als Drucker-Spooler. Da sie sich im Startup-Ordner installiert, aktiviert das Betriebssystem sie beim Hochfahren automatisch. Die vom Anwender gedrückten Tasten protokolliert es in der Datei system.log in in dessen temp-Verzeichnis. Diese sowie die in eine andere Datei extrahierten Kreditkartendaten schickt ein mitgelieferter Tor-Client an einen Command&Control-Server.

Auch die ältere Malware Zeus nutzt das zum anonymen Surfen gedachte Tor-Netz zur Kommunikation. Dadurch lassen sich die von den Angreifern genutzten Steuerungsrechner nur schwer oder gar nicht lokalisieren. RSA bewertet ChewBacca als relativ einfache und wehrlose Malware. Bedrohte Unternehmen könnten verschiedene Maßnahmen dagegen ergreifen, etwa die Daten sofort zu verschlüsseln. Das verschöbe das Risiko und die Abwehrmaßnahmen zu den Kreditkartenfirmen und deren Zahlungsdienstleistern. (ck)