MajikPOS

MajikPOS Beskrivelse

MajikPOS malware-familiens aktivitet blev første gang opdaget for over to år siden. Malware-eksperter, der undersøgte truslen, fandt, at målet med angrebene, der blev udført ved hjælp af MajikPOS-malware, er at indsamle kreditkortoplysninger. For at opnå dette ville MajikPOS-truslen udnytte et POS (Point-of-Sale) udstyr og indsamle kreditkortoplysninger for de personer, der bruger det. De fleste malware, der er målrettet mod POS-enheder, er målrettet mod virksomheder i fattige regioner, da det er mere sandsynligt, at de kan have svagere sikkerhedsforanstaltninger på plads. I tilfælde af MajikPOS-trussel er målene imidlertid placeret i USA og Canada. Det er sandsynligt, at angriberen har taget denne mere udfordrende opgave op, fordi kreditkortoplysninger fra denne region kan sælges til meget højere priser på underjordiske fora og markeder.

Sådan leveres MajikPOS Malware

Ved undersøgelse af truslen fandt cybersecurity-forskere, at systemerne, der blev kompromitteret af MajikPOS-malware, også havde en RAT (Remote Access Trojan) til stede på dem. Dette fik dem til at tro, at forfatterne af denne trussel sandsynligvis har brugt en RAT som en første-trin nyttelast og derefter anvendt den til at levere og plante MajikPOS malware på det inficerede system. En anden måde for MajikPOS-truslen at finde vej ind i et system kan sandsynligvis være ved at bruge et eksternt desktop-program, der er sikret dårligt.

Skraber kreditkortoplysninger fra POS-enheds RAM

MajikPOS malware skraber systemets RAM (Random Access Memory) og sørger for at lokalisere og indsamle alle data, der kan være relateret til kreditkortoplysninger. Da de opererer i USA og Canada, ved angriberen, at de POS-enheder, der bruges af de institutioner og virksomheder, de er målrettet mod, sandsynligvis vil være moderne. Dette betyder, at de oplysninger, de er efter, ikke gemmes på disken på den kompromitterede enhed. I stedet gemmer mere moderne POS-enheder kreditkortoplysninger i deres RAM'er, da dette er langt sikrere. Som du kan se, er denne sikkerhedsforanstaltning langt fra tilstrækkelig til at forhindre cyberangreb.

De indsamlede data sælges på et websted, der kaldes 'Magic Dump'

MajikPOS-truslen er blevet programmeret til at søge efter kreditkortdata relateret til Visa, Mastercard, American Express, Discover, Diners Club osv. Alle kreditkortoplysninger, som MajikPOS malware også indsamler, vil blive kontrolleret ved hjælp af Luhn-algoritmen , som er beregnet til at bestemme, om dataene er gyldige. Oplysningerne, der passerer gennem Luhn-algoritmekontrollen med succes, vil blive filtreret til angrebernes C&C (Command & Control) -server. Forfatterne af MajikPOS-truslen vil derefter lægge de indsamlede data til salg på et websted, de har oprettet. Webstedet kaldes 'Magic Dump', og det ser ud til, at dets kulmination var, da dens operatører havde mere end 23.000 kreditkortoplysninger til salg.

Forfatterne af MajikPOS-truslen ser ud til at vide, hvad de laver, og det er sandsynligt, at de er meget erfarne, når det kommer til at oprette malware af denne type. Institutioner og virksomheder skal være meget forsigtige, når de håndterer deres kunders kreditkortoplysninger, da fejl kan koste dem deres omdømme og måske hele deres virksomhed.