SAP-snuffelende trojan blijkt bijtertje

Tijdens de RSAconferentie vorige maand lieten onderzoekers van ERPscan zien hoe deze malware die eigenlijk met een keylogger uit is op het verzamelen van wachtwoorden, terloops ook controleert of er een SAP-client op het systeem aanwezig is. De onderzoekers trokken daaruit de conclusie dat de cybercriminelen hun aandacht verlegden naar SAP-systemen en waarschuwden de aanwezigen alert te zijn op gerichte aanvallen.

Nader onderzoek door MMPC geeft aan de trojan al gelijk zelf in staat is toegang te verlenen tot SAP-servers met de gegevens die de keylogger verzamelt. In de code troffen de onderzoekers code aan die sniffer activeert wanneer de saplogon.exe wordt gebruikt om in te loggen op de toepassing. Gamker.A registreert de toetsaanslagen en maakt 10 screenshots van de vensters die de server presenteert aan de gebruiker. Uit die screenshots is af te leiden wat de servernaam en de SAP-gebruikersnaam is. Ook andere vertrouwelijke informatie wordt zchtbaar. De combinatie geeft de criminelen voldoende informatie om vanaf de geïnfecteerde machine in te loggen op de SAP-server.