MajikPOS
A MajikPOS malware család tevékenységét először több mint két évvel ezelőtt észlelték. A veszélyt kutató malware szakértők úgy találták, hogy a MajikPOS malware segítségével végrehajtott támadások célja hitelkártya-információk gyűjtése. Ennek elérése érdekében a MajikPOS fenyegetése egy POS (értékesítési pont) eszközt fog kihasználni, és összegyűjti a hitelkártya adatait azoktól, akik ezt használják. A legtöbb rosszindulatú program, amely a POS-eszközöket célozza meg, általában a szegényebb régiókban működő vállalatokat célozza meg, mivel valószínűbb, hogy ezeknek a biztonsági intézkedéseknek kevésbé vannak érvényben. A MajikPOS fenyegetése esetén azonban a célok az Egyesült Államokban és Kanadában találhatók. Valószínű, hogy a támadók elvégezték ezt a kihívást jelentő feladatot, mivel e régió hitelkártya-adatai sokkal magasabb áron adhatók el a földalatti fórumokon és piacokon.
Tartalomjegyzék
A MajikPOS malware futtatása
A fenyegetés vizsgálata során a kiberbiztonsági kutatók megállapították, hogy a MajikPOS rosszindulatú programok által veszélyeztetett rendszerekben RAT (Remote Access Trojan) is található. Ez arra késztette őket, hogy azt hitték, hogy ennek a fenyegetésnek a szerzői valószínűleg egy RAT-ot használtak egy első szakaszban lévő hasznos teherként, majd felhasználták a MajikPOS malware szállítására és telepítésére a fertőzött rendszeren. A MajikPOS fenyegetésének egy másik módja annak, hogy a rendszerbe kerüljön, valószínűleg egy távoli asztali alkalmazás használata, amely rosszul van biztonságban.
Beolvassa a hitelkártya-információkat a POS-eszközök RAM-ból
A MajikPOS malware lekaparja a rendszer RAM-ot (Random Access Memory), és gondoskodik arról, hogy megtaláljon és gyűjtsön minden olyan adatot, amely a hitelkártya-adatokhoz kapcsolódhat. Mivel az Egyesült Államokban és Kanadában működnek, a támadók tudják, hogy az általuk megcélzott intézmények és vállalkozások által használt POS-eszközök valószínűleg modernek lesznek. Ez azt jelenti, hogy az általuk követett információkat nem tárolják a veszélyeztetett eszköz lemezén. Ehelyett a kortárs POS-eszközök a hitelkártya-adatokat tárolják RAM-jukban, mivel ez sokkal biztonságosabb. Mint láthatja, ez a biztonsági intézkedés messze nem elegendő a számítógépes támadások megelőzéséhez.
A gyűjtött adatokat „Magic Dump” nevű webhelyen értékesítik.
A MajikPOS fenyegetését úgy programozták, hogy megkeresse a Visa, Mastercard, American Express, Discover, Diners Club stb. Hitelkártya-adatait. A Luhn algoritmus segítségével az összes hitelkártya-információt, amelyet a MajikPOS malware összegyűjt, szintén ellenőrizni fogja. , amelynek célja az adatok érvényességének meghatározása. A Luhn algoritmus ellenőrzésén keresztül sikeresen átjutó információkat kiszűrjük a támadók C&C (Command & Control) szerverére. A MajikPOS fenyegetés szerzői ezt követően eladott összegyűjtött adatokat tárolnak egy általuk létrehozott webhelyen. A webhelyet „Magic Dump” -nek hívják, és úgy tűnik, hogy tetőpontja akkor alakult ki, amikor a szolgáltatók több mint 23 000 hitelkártya-információval voltak eladva.
A MajikPOS fenyegetésének szerzői látszólag tudják, mit csinálnak, és valószínű, hogy nagyon tapasztalt, amikor ilyen típusú rosszindulatú programokat hoznak létre. Az intézményeknek és a vállalkozásoknak nagyon óvatosnak kell lenniük ügyfeleik hitelkártya-adatainak kezelésekor, mivel a hibák megtéríthetik hírnevüket és esetleg az egész intézményüket.
