„MajikPOS“

„MajikPOS“ Description

„MajikPOS“ kenkėjiškų programų šeimos veikla pirmą kartą buvo pastebėta daugiau nei prieš dvejus metus. Kenkėjiškų programų ekspertai, tyrinėję grėsmę, nustatė, kad išpuolių, vykdomų padedant „MajikPOS“ kenkėjiškoms programoms, tikslas yra rinkti kreditinių kortelių informaciją. Norėdami tai pasiekti, „MajikPOS“ grėsmė išnaudos „POS“ (pardavimo taško) įrenginį ir surenka jį naudojančių asmenų kreditinės kortelės informaciją. Dauguma kenkėjiškų programų, nukreiptų į POS įrenginius, dažniausiai yra nukreiptos į skurdesnių regionų įmones, nes labiau tikėtina, kad joms gali būti taikomos silpnesnės saugumo priemonės. Tačiau, kilus „MajikPOS“ grėsmei, taikiniai yra JAV ir Kanadoje. Tikėtina, kad užpuolikai galėjo imtis šios sudėtingesnės užduoties, nes kreditinių kortelių duomenis iš šio regiono galima parduoti už daug didesnes kainas požeminiuose forumuose ir turgeliuose.

Kaip pristatoma kenkėjiška programinė įranga „MajikPOS“

Tyrinėdami grėsmę, kibernetinio saugumo tyrėjai nustatė, kad sistemose, kurioms pakenkė kenkėjiška programinė įranga „MajikPOS“, taip pat buvo RAT (Remote Access Trojan). Tai paskatino juos manyti, kad šios grėsmės autoriai greičiausiai panaudojo RAT kaip pirmojo etapo naudingą krovinį, o paskui panaudojo jį „MajikPOS“ kenkėjiškų programų pateikimui ir įdėjimui į užkrėstą sistemą. Kitas būdas, kuriuo „MajikPOS“ grėsmė gali atsidurti sistemoje, greičiausiai gali būti naudojant nuotolinio darbalaukio programą, kuri yra blogai apsaugota.

Nuskaityta kreditinės kortelės informacija iš „POS Devices“ atminties

„MajikPOS“ kenkėjiška programa nuskaito sistemos RAM (Random Access Memory) ir įsitikina, kad suras ir surinks visus duomenis, kurie gali būti susiję su kreditinės kortelės informacija. Kadangi jie veikia JAV ir Kanadoje, užpuolikai žino, kad POS įrenginiai, kuriuos naudoja institucijos ir įmonės, į kuriuos jie nukreipia, greičiausiai bus modernūs. Tai reiškia, kad informacija, kuria jie yra, nebus saugoma pažeisto įrenginio diske. Vietoj to, šiuolaikiškesni POS įrenginiai saugo kredito kortelių duomenis savo atmintyje, nes tai yra daug saugesnė. Tačiau, kaip matote, šios saugumo priemonės nepakanka, kad būtų išvengta kibernetinių atakų.

Surinkti duomenys parduodami svetainėje, pavadintoje „Magic Dump“.

„MajikPOS“ grėsmė buvo suprogramuota ieškoti bet kokių kredito kortelių duomenų, susijusių su „Visa“, „Mastercard“, „American Express“, „Discover“, „Diners Club“ ir kt. Visa kredito kortelių informacija, kurią kaupia „MajikPOS“ kenkėjiška programa, taip pat bus patikrinta naudojant Luhn algoritmą. , kuris skirtas nustatyti, ar duomenys teisingi. Informacija, sėkmingai praeinanti per „Luhn“ algoritmo patikrinimą, bus išfiltruota į užpuolikų C&C („Command & Control“) serverį. Tada „MajikPOS“ grėsmės autoriai surinktus duomenis pateiks pardavimui į savo sukurtą svetainę. Ši svetainė vadinasi „Magic Dump“, ir atrodo, kad jos kulminacija buvo tada, kai jos operatoriai turėjo daugiau nei 23 000 kreditinių kortelių informaciją.

Atrodo, kad „MajikPOS“ grėsmės autoriai žino, ką daro, ir tikėtina, kad jie yra labai patyrę, kai reikia sukurti tokio tipo kenkėjiškas programas. Įstaigos ir įmonės turi būti labai atsargios tvarkydamos savo klientų kreditinių kortelių informaciją, nes klaidos gali kainuoti jų reputacijai, o gal ir visai jų įmonei.