MajikPOS

MajikPOS Beskrivelse

MajikPOS malware-familiens aktivitet ble først oppdaget for over to år siden. Malware-eksperter som undersøkte trusselen fant at målet med angrepene som ble utført ved hjelp av MajikPOS-skadelig programvare, er å samle inn kredittkortinformasjon. For å oppnå dette, ville MajikPOS-trusselen utnytte en POS (Point-of-Sale) -enhet og samle kredittkortinformasjonen til personene som bruker den. De fleste malware som er målrettet mot POS-enheter, har en tendens til å målrette selskaper i fattige regioner, ettersom det er mer sannsynlig at de kan ha svakere sikkerhetstiltak på plass. Når det gjelder MajikPOS-trusselen, er målene imidlertid lokalisert i USA og Canada. Det er sannsynlig at angriperne kan ha tatt opp denne mer utfordrende oppgaven fordi kredittkortdetaljer fra denne regionen kan selges for mye høyere priser på underjordiske fora og markeder.

Hvordan MajikPOS Malware leveres

Når de studerte trusselen, fant forskere innen cybersikkerhet at systemene, som ble kompromittert av MajikPOS-skadelig programvare, også hadde en RAT (Remote Access Trojan) til stede på seg. Dette fikk dem til å tro at forfatterne av denne trusselen sannsynligvis har brukt en RAT som nyttelast i første trinn og deretter brukt den til å levere og plante MajikPOS-skadelig programvare på det infiserte systemet. En annen måte for MajikPOS-trusselen å finne veien inn i et system kan trolig være ved å bruke et eksternt skrivebordsprogram som er sikret dårlig.

Skrap kredittkortinformasjon fra POS Devices RAM

MajikPOS-skadelig programvare skraper systemets RAM (Random Access Memory) og sørger for å finne og samle inn data som kan være relatert til kredittkortinformasjon. Siden de opererer i USA og Canada, vet angriperne at POS-enhetene som brukes av institusjonene og virksomhetene de er rettet mot, sannsynligvis vil være moderne. Dette betyr at informasjonen de er ute etter ikke vil bli lagret på disken til den kompromitterte enheten. I stedet lagrer mer moderne POS-enheter kredittkortdetaljer i RAM-ene, da dette er langt tryggere. Imidlertid, som du kan se, er dette sikkerhetstiltaket langt fra nok til å forhindre cyberangrep.

De innsamlede dataene selges på et nettsted som kalles 'Magic Dump'

MajikPOS-trusselen er blitt programmert for å se etter eventuelle kredittkortdata relatert til Visa, Mastercard, American Express, Discover, Diners Club, etc. All kredittkortinformasjon som MajikPOS-skadelig programvare samler inn, vil også bli sjekket ved hjelp av Luhn-algoritmen. , som er ment å bestemme om dataene er gyldige. Informasjonen som går gjennom Luhn-algoritmeskontrollen, vil bli filtrert til C&C (Command & Control) -serveren til angriperne. Forfatterne av MajikPOS-trusselen vil deretter legge de innsamlede dataene til salgs på et nettsted som de har satt opp. Nettstedet kalles 'Magic Dump', og det ser ut til at kulminasjonen var da operatørene hadde mer enn 23 000 kredittkortinformasjon til salgs.

Forfatterne av MajikPOS-trusselen ser ut til å vite hva de gjør, og det er sannsynlig at de er veldig erfarne når det gjelder å lage malware av denne typen. Institusjoner og virksomheter må være veldig forsiktige når de håndterer kredittkortinformasjonen til kundene sine, da feil kan koste dem sitt rykte og kanskje hele virksomheten.