MajikPOS

MajikPOS Kuvaus

MajikPOS-haittaohjelmaperheen toiminta havaittiin ensimmäisen kerran yli kaksi vuotta sitten. Uhkia tutkineet haittaohjelmien asiantuntijat havaitsivat, että MajikPOS-haittaohjelman avulla toteutettujen hyökkäysten tavoitteena on kerätä luottokorttitietoja. Tämän saavuttamiseksi MajikPOS-uhka hyödyntäisi POS (myyntipiste) -laitetta ja kerää sen käyttäjien luottokorttitiedot. Useimmat haittaohjelmat, jotka kohdistuvat POS-laitteisiin, pyrkivät kohdistamaan köyhempien alueiden yrityksiä, koska on todennäköisempää, että heillä on heikommat tietoturvatoimenpiteet. MajikPOS-uhan tapauksessa kohteet sijaitsevat kuitenkin Yhdysvalloissa ja Kanadassa. On todennäköistä, että hyökkääjät ovat saattaneet hoitaa tämän haastavamman tehtävän, koska tämän alueen luottokorttitiedot voidaan myydä paljon korkeampaan hintaan maanalaisilla foorumeilla ja markkinoilla.

Kuinka MajikPOS-haittaohjelma toimitetaan

Tutkiessaan uhkaa kyberturvallisuustutkijat havaitsivat, että MajikPOS-haittaohjelman vaarantamissa järjestelmissä oli myös RAT (Remote Access Trojan). Tämä sai heidät uskomaan, että tämän uhan tekijät ovat todennäköisesti käyttäneet RAT: ta ensimmäisen vaiheen hyötykuormana ja hyödyntäneet sitä sitten MajikPOS-haittaohjelman toimittamiseen ja istuttamiseen tartunnan saaneessa järjestelmässä. Toinen tapa MajikPOS-uhkille löytää tiensä järjestelmään voi todennäköisesti olla etätyöpöytäsovelluksen käyttö, joka on suojattu huonosti.

Kaappaa luottokorttitiedot POS-laitteiden RAM-muistista

MajikPOS-haittaohjelma kaappaa järjestelmän RAM-muistin (Random Access Memory) ja varmistaa, että etsitään ja kerätään kaikki luottokorttitietoihin liittyvät tiedot. Koska hyökkääjät toimivat Yhdysvalloissa ja Kanadassa, he tietävät, että niiden kohdistamien laitosten ja yritysten käyttämät POS-laitteet ovat todennäköisesti uudenaikaisia. Tämä tarkoittaa, että heidän jäljellä olevia tietoja ei tallenneta vaarannetun laitteen levylle. Sen sijaan nykyaikaisemmat POS-laitteet tallentavat luottokorttitietoja RAM-muistiinsa, koska tämä on paljon turvallisempaa. Kuten voitte nähdä, tämä turvatoimenpide ei kuitenkaan ole kaukana riittävästä verkkohyökkäysten estämiseksi.

Kerättyjä tietoja myydään sivustolla, jota kutsutaan nimellä "Magic Dump".

MajikPOS-uhka on ohjelmoitu etsimään Visaan, Mastercardiin, American Expressiin, Discoveriin, Diners Clubiin jne. Liittyviä luottokorttitietoja. Kaikki luottokorttitiedot, jotka MajikPOS-haittaohjelmat keräävät, tarkistetaan myös Luhn-algoritmin avulla , jonka tarkoituksena on selvittää, ovatko tiedot oikeita. Tiedot, jotka läpäisevät Luhn-algoritmitarkistuksen onnistuneesti, suodatetaan hyökkääjien C&C (Command & Control) -palvelimelle. MajikPOS-uhan tekijät laittavat sitten kerätyt tiedot myytäväksi verkkosivulle, jonka he ovat perustaneet. Sivustoa kutsutaan nimellä Magic Dump, ja vaikuttaa siltä, että sen huipentuma oli, kun sen operaattoreilla oli myytävänä yli 23 000 luottokorttitietoa.

MajikPOS-uhan tekijät näyttävät tietävän mitä tekevät, ja on todennäköistä, että he ovat erittäin kokenut tämän tyyppisten haittaohjelmien luomisessa. Laitosten ja yritysten on oltava erittäin varovaisia käsitellessään asiakkaidensa luottokorttitietoja, koska virheet voivat maksaa heidän maineensa ja ehkä koko yrityksen.