MajikPOS
Aktivnost obitelji MajikPOS zlonamjerni je program prvi put uočena prije više od dvije godine. Stručnjaci za zlonamjerni softver koji su istraživali prijetnju utvrdili su da je cilj napada izvršenih uz pomoć zlonamjernog softvera MajikPOS prikupljanje podataka o kreditnim karticama. Da bi se to postiglo, prijetnja MajikPOS iskoristio bi POS (prodajno mjesto) uređaj i prikupio podatke o kreditnim karticama pojedinaca koji ga koriste. Većina zlonamjernog softvera koji cilja POS uređaje teži tvrtkama u siromašnijim regijama, jer je vjerojatnije da će imati slabije sigurnosne mjere. Međutim, u slučaju prijetnje MajikPOS, ciljevi se nalaze u Sjedinjenim Državama i Kanadi. Vjerojatno su napadači preuzeli ovaj zahtjevniji zadatak, jer se podaci o kreditnim karticama iz ove regije mogu prodavati za mnogo veće cijene na podzemnim forumima i tržištima.
Sadržaj
Kako se isporučuje zlonamjerni softver MajikPOS
Tijekom proučavanja prijetnje, istraživači kibernetičke sigurnosti otkrili su da sustavi, koje je kompromitirao zlonamjerni softver MajikPOS, također imaju RAT (Remote Access Trojan) na njima. To ih je navelo da vjeruju da su autori ove prijetnje vjerojatno koristili RAT kao korisni teret u prvoj fazi, a zatim su ga koristili za isporuku i sadnju zlonamjernog softvera MajikPOS na zaraženom sustavu. Drugi način da MajikPOS prijetnja pronađe svoj put u sustav vjerojatno bi mogao biti korištenjem udaljene radne površine koja je slabo osigurana.
Zapisuje podatke o kreditnoj kartici s RAM-a POS uređaja
Zlonamjerni softver MajikPOS ogrebuje RAM-u sustava (Random Access Memory) i osigurava lociranje i prikupljanje svih podataka koji se mogu odnositi na podatke o kreditnoj kartici. Budući da djeluju u Sjedinjenim Državama i Kanadi, napadači znaju da će POS uređaji koje koriste institucije i tvrtke na koje ciljaju vjerojatno biti moderni. To znači da se informacije koje traže nakon toga neće pohraniti na disk kompromitiranog uređaja. Umjesto toga, moderniji POS uređaji pohranjuju detalje o kreditnim karticama u svoje RAM-ove, jer je to daleko sigurnije. Međutim, kao što vidite, ova sigurnosna mjera daleko je od dovoljne da spriječi cyber napade.
Prikupljeni podaci prodaju se na web mjestu zvanom 'Magic Dump'
Prijetnja MajikPOS programirana je tako da traži sve podatke o kreditnim karticama vezanim za Visa, Mastercard, American Express, Discover, Diners Club itd. Sve podatke o kreditnoj kartici koje prikuplja i zlonamjerni softver MajikPOS provjerit će se pomoću Luhnovog algoritma , što je namijenjeno utvrđivanju valjanosti podataka. Podaci koji uspješno prođu kroz Luhnov algoritam provjere bit će istrgnuti na C&C (Command & Control) server napadača. Zatim će autori prijetnje MajikPOS prikupljene podatke staviti na prodaju na web mjesto koje su postavili. Stranica se zove "Čarobni deponij", a čini se da je vrhunac bio kada su njeni operateri imali na raspolaganju više od 23.000 podataka o kreditnim karticama.
Čini se da autori prijetnje MajikPOS znaju što rade, a vjerojatno je vrlo iskusan kada je u pitanju stvaranje zlonamjernog softvera ove vrste. Institucije i tvrtke moraju biti vrlo oprezni pri rukovanju podacima svojih klijenata s kreditnim karticama jer ih pogreške mogu koštati njihove reputacije, a možda i cijele tvrtke.
