MajikPOS
L'attività della famiglia di malware MajikPOS è stata individuata per la prima volta oltre due anni fa. Gli esperti di malware che hanno studiato la minaccia hanno scoperto che l'obiettivo degli attacchi effettuati con l'aiuto del malware MajikPOS è quello di raccogliere informazioni sulla carta di credito. A tale scopo, la minaccia MajikPOS sfrutterà un dispositivo POS (Point-of-Sale) e raccoglierà le informazioni sulla carta di credito delle persone che lo utilizzano. La maggior parte dei malware destinati ai dispositivi POS tende a colpire le aziende nelle regioni più povere, poiché è più probabile che possano disporre di misure di sicurezza più deboli. Tuttavia, nel caso della minaccia MajikPOS, gli obiettivi si trovano negli Stati Uniti e in Canada. È probabile che gli aggressori possano aver assunto questo compito più impegnativo perché i dettagli della carta di credito di questa regione possono essere venduti a prezzi molto più alti su forum e mercati sotterranei.
Sommario
Come viene consegnato il malware MajikPOS
Durante lo studio della minaccia, i ricercatori della sicurezza informatica hanno scoperto che i sistemi, che erano stati compromessi dal malware MajikPOS, presentavano anche un RAT (Remote Access Trojan). Ciò li ha portati a credere che gli autori di questa minaccia abbiano probabilmente usato un RAT come payload di primo livello e quindi lo abbiano utilizzato per consegnare e piantare il malware MajikPOS sul sistema infetto. Un altro modo in cui la minaccia MajikPOS può penetrare in un sistema potrebbe essere quello di utilizzare un'applicazione desktop remota che è stata protetta in modo scadente.
Raschia le informazioni della carta di credito dalla RAM dei dispositivi POS
Il malware MajikPOS raschia la RAM del sistema (Random Access Memory) e si assicura di individuare e raccogliere tutti i dati che potrebbero essere correlati alle informazioni della carta di credito. Poiché operano negli Stati Uniti e in Canada, gli aggressori sanno che i dispositivi POS utilizzati dalle istituzioni e dalle aziende a cui si rivolgono saranno probabilmente moderni. Ciò significa che le informazioni che stanno cercando non verranno archiviate sul disco del dispositivo compromesso. Invece, i dispositivi POS più moderni archiviano i dettagli delle carte di credito nelle loro RAM, poiché questo è molto più sicuro. Tuttavia, come puoi vedere, questa misura di sicurezza è tutt'altro che sufficiente per prevenire attacchi informatici.
I dati raccolti vengono venduti su un sito chiamato “Magic Dump”
La minaccia MajikPOS è stata programmata per cercare tutti i dati della carta di credito relativi a Visa, Mastercard, American Express, Discover, Diners Club, ecc. Tutte le informazioni sulla carta di credito raccolte dal malware MajikPOS verranno verificate con l'aiuto dell'algoritmo Luhn , che ha lo scopo di determinare se i dati sono validi. Le informazioni che passano correttamente attraverso il controllo dell'algoritmo Luhn verranno esfiltrate nel server C&C (Command & Control) degli aggressori. Gli autori della minaccia MajikPOS metteranno quindi in vendita i dati raccolti su un sito Web che hanno creato. Il sito si chiama "Magic Dump" e sembra che il suo culmine sia stato quando i suoi operatori hanno messo in vendita oltre 23.000 informazioni sulle carte di credito.
Gli autori della minaccia MajikPOS sembrano sapere cosa stanno facendo ed è probabile che abbiano molta esperienza quando si tratta di creare malware di questo tipo. Le istituzioni e le aziende devono fare molta attenzione quando gestiscono le informazioni della carta di credito dei propri clienti poiché gli errori possono costare loro la reputazione e forse l'intero stabilimento.
