MajikPOS
Η δραστηριότητα της οικογένειας malware του MajikPOS εντοπίστηκε για πρώτη φορά πριν από δύο χρόνια. Οι ειδικοί για κακόβουλο λογισμικό που διερεύνησαν την απειλή διαπίστωσαν ότι ο στόχος των επιθέσεων που πραγματοποιήθηκαν με τη βοήθεια του κακόβουλου λογισμικού MajikPOS είναι η συλλογή πληροφοριών πιστωτικής κάρτας. Για να επιτευχθεί αυτό, η απειλή MajikPOS θα εκμεταλλευόταν μια συσκευή POS (σημείο πώλησης) και θα συγκέντρωνε τις πληροφορίες της πιστωτικής κάρτας των ατόμων που την χρησιμοποιούν. Τα περισσότερα κακόβουλα προγράμματα που στοχεύουν σε συσκευές POS τείνουν να στοχεύουν εταιρείες σε φτωχότερες περιφέρειες, καθώς είναι πιθανότερο να εφαρμόσουν πιο αδύναμα μέτρα ασφαλείας. Ωστόσο, στην περίπτωση της απειλής MajikPOS, οι στόχοι βρίσκονται στις Ηνωμένες Πολιτείες και τον Καναδά. Είναι πιθανό ότι οι επιτιθέμενοι μπορεί να έχουν αναλάβει αυτό το πιο δύσκολο έργο επειδή τα στοιχεία της πιστωτικής κάρτας από την περιοχή αυτή μπορούν να πωληθούν για πολύ υψηλότερες τιμές σε υπόγεια φόρα και αγορές.
Πίνακας περιεχομένων
Πώς παραδίδεται το malware του MajikPOS
Κατά τη μελέτη της απειλής, οι ερευνητές στον κυβερνοχώρο διαπίστωσαν ότι τα συστήματα, τα οποία διακυβεύονταν από το κακόβουλο λογισμικό MajikPOS, είχαν επίσης ένα RAT (Trojan Remote Access). Αυτό τους οδήγησε να πιστεύουν ότι οι συντάκτες αυτής της απειλής έχουν χρησιμοποιήσει πιθανώς ένα RAT ως ωφέλιμο φορτίο πρώτου σταδίου και στη συνέχεια το χρησιμοποίησαν για να παραδώσουν και να φυτέψουν το MalikPOS malware στο μολυσμένο σύστημα. Ένας άλλος τρόπος για την απειλή του MajikPOS να βρει το δρόμο του σε ένα σύστημα θα μπορούσε πιθανότατα να είναι χρησιμοποιώντας μια εφαρμογή απομακρυσμένης επιφάνειας εργασίας που έχει ασφαλιστεί κακώς.
Καταστρέφει τις πληροφορίες της πιστωτικής κάρτας από τη μνήμη RAM των συσκευών POS
Το κακόβουλο λογισμικό MajikPOS καταστρέφει τη μνήμη τυχαίας προσπέλασης (RAM) του συστήματος και φροντίζει να εντοπίσετε και να συλλέξετε τυχόν δεδομένα που ενδέχεται να σχετίζονται με πληροφορίες πιστωτικών καρτών. Εφόσον λειτουργούν στις Ηνωμένες Πολιτείες και τον Καναδά, οι επιτιθέμενοι γνωρίζουν ότι οι συσκευές POS που χρησιμοποιούνται από τα ιδρύματα και τις επιχειρήσεις που στοχεύουν θα είναι πιθανό να είναι σύγχρονα. Αυτό σημαίνει ότι οι πληροφορίες που ακολουθούν δεν θα αποθηκευτούν στο δίσκο της συμβαλλόμενης συσκευής. Αντ 'αυτού, πιο σύγχρονες συσκευές POS αποθηκεύουν λεπτομέρειες πιστωτικών καρτών στις μνήμες RAM, καθώς αυτό είναι πολύ πιο ασφαλές. Ωστόσο, όπως βλέπετε, αυτό το μέτρο ασφαλείας απέχει πολύ από το να αποτρέψει τις επιθέσεις στον κυβερνοχώρο.
Τα συλλεχθέντα δεδομένα πωλούνται σε έναν ιστότοπο που ονομάζεται “Magic Dump”
Η απειλή MajikPOS έχει προγραμματιστεί να ψάξει για οποιαδήποτε στοιχεία πιστωτικών καρτών που σχετίζονται με Visa, Mastercard, American Express, Discover, Diners Club κλπ. Όλες οι πληροφορίες της πιστωτικής κάρτας που συλλέγει το malware του MajikPOS επίσης θα ελεγχθούν με τη βοήθεια του αλγόριθμου Luhn , που προορίζεται να καθορίσει εάν τα δεδομένα είναι έγκυρα. Οι πληροφορίες που περνούν με επιτυχία τον έλεγχο του αλγόριθμου Luhn θα απομακρυνθούν στον εξυπηρετητή C & C (Command & Control) των εισβολέων. Οι συντάκτες της απειλής MajikPOS θα τοποθετήσουν τα συλλεχθέντα δεδομένα προς πώληση σε έναν ιστότοπο που έχουν δημιουργήσει. Ο ιστότοπος ονομάζεται «Magic Dump» και φαίνεται ότι η αποκορύφωσή του ήταν όταν οι φορείς εκμετάλλευσης έβαλαν προς πώληση περισσότερες από 23.000 πληροφορίες για πιστωτικές κάρτες.
Οι συγγραφείς της απειλής MajikPOS φαίνεται να γνωρίζουν τι κάνουν και είναι πολύ πιθανό να είναι πολύ έμπειροι όταν πρόκειται για τη δημιουργία κακόβουλου λογισμικού αυτού του τύπου. Τα ιδρύματα και οι επιχειρήσεις πρέπει να είναι πολύ προσεκτικοί όταν χειρίζονται τις πληροφορίες πιστωτικών καρτών των πελατών τους, καθώς τα λάθη μπορεί να τους κοστίζουν τη φήμη τους και ίσως ολόκληρη την εγκατάστασή τους.
