Het Threats Report Fourth Quarter 2013 van securityleverancier McAfee laat zien welke rol de ‘dark web’ malwareindustrie eind 2013 heeft gespeeld bij aanvallen op de kassasystemen (point of sale (pos)-systemen) in winkels en de daarop volgende datadiefstal. Het rapport benadrukt het toenemende gemak waarmee pos-malware online kan worden ‘besteld’.
Ook het online verkopen van gestolen creditcardnummers en andere persoonlijke informatie van consumenten blijkt steeds eenvoudiger te worden. Een andere verontrustende trend die zich in het vierde kwartaal van 2013 doorzette, is de toename van malware die is gesigneerd met een digitaal echtheidscertificaat. Deze vorm van malware is verdriedubbeld, vooral door misbruik van geautomatiseerde content distribution networks (cdn’s), die kwaadaardige code verpakken in digitaal gesigneerde, legitieme installatieprogramma’s. Volgens McAfee Labs kan deze toenemende trend een reële dreiging worden voor het vertrouwde certificate authority (CA)-model, waarmee software wordt voorzien van een digitaal ‘veilig’-stempel.
Cybercrime as a service
Uit onderzoek van de bekende diefstallen van creditcardnummers in het vierde kwartaal blijkt dat de pos-malware die bij deze aanvallen is gebruikt, gebaseerd was op relatief eenvoudige technologieën die waarschijnlijk kant-en-klaar online zijn gekocht via de ‘cybercrime as a service’-gemeenschap. Daarna is de malware aangepast voor deze specifieke aanvallen.
Uit verder onderzoek door McAfee Labs naar ondergrondse ‘dark web’-markplaatsen, blijkt dat gestolen creditcardnummers daar te koop worden aangeboden, evenals andere persoonlijke informatie die is buitgemaakt tijdens de retailinbraken in het vierde kwartaal. Zo werden ongeveer veertig miljoen gestolen creditcardnummers aangeboden, in partijen van één miljoen tot vier miljoen exemplaren.
Malware met digitale certificaten
Door software te voorzien van een digitaal ‘echtheidscertificaat’ wordt de identiteit van de ontwikkelaar gevalideerd en wordt tevens de garantie gegeven dat er sinds de uitgifte van het digitale certificaat niet met de software is geknoeid. Aan de hand van deze certificaten wordt vervolgens bepaald of een softwaretoepassing al of niet toegestaan mag worden op een systeem of een netwerk. Daarbij wordt er vanuit gegaan dat aldus gesigneerde software veilig en legitiem is. Door malware te voorzien van vervalste of gestolen certificaten, lijkt het dus dat deze legitiem is. Eind 2013 was in de McAfee-database het aantal malwarevarianten met een digitaal certificaat verdrievoudigd, tot ruim acht miljoen verdachte samples. Alleen al in het vierde kwartaal werden door McAfee ruim 2,3 miljoen nieuwe varianten gevonden: een toename van 52 procent ten opzichte van het derde kwartaal.
Onder malware met een digitaal certificaat bevinden zich varianten met gestolen, gekochte of misbruikte certificaten. Maar de voortdurende groei van deze vorm van malware is vooral te danken aan dubieuze cdn’s. Het gaat dan om websites en organisaties die het voor ontwikkelaars mogelijk maken om een applicatie te uploaden of een url te nemen die verwijst naar een externe applicatie, en deze vervolgens te ‘verpakken’ in een installatieprogramma dat is voorzien van een legitiem digitaal certificaat.
