MajikPOS

MajikPOS Beschrijving

De activiteit van de MajikPOS-malwarefamilie werd meer dan twee jaar geleden voor het eerst opgemerkt. Malware-experts die de dreiging hebben onderzocht, hebben geconstateerd dat het doel van de aanvallen met behulp van de MajikPOS-malware het verzamelen van creditcardinformatie is. Om dit te bereiken, zou de MajikPOS-dreiging gebruikmaken van een POS-apparaat (Point-of-Sale) en de creditcardgegevens verzamelen van de personen die het gebruiken. De meeste malware die zich richt op POS-apparaten, is meestal gericht op bedrijven in armere regio's, omdat het waarschijnlijker is dat ze zwakkere beveiligingsmaatregelen hebben getroffen. In het geval van de MajikPOS-dreiging bevinden de doelen zich echter in de Verenigde Staten en Canada. Het is waarschijnlijk dat de aanvallers deze meer uitdagende taak hebben uitgevoerd omdat creditcardgegevens uit deze regio voor veel hogere prijzen op ondergrondse forums en markten kunnen worden verkocht.

Hoe de MajikPOS-malware wordt geleverd

Bij het bestuderen van de dreiging ontdekten cybersecurity-onderzoekers dat op de systemen, die werden aangetast door de MajikPOS-malware, ook een RAT (Remote Access Trojan) aanwezig was. Dit bracht hen ertoe te geloven dat de auteurs van deze dreiging waarschijnlijk een RAT hebben gebruikt als een eerste fase lading en deze vervolgens hebben gebruikt om de MajikPOS-malware op het geïnfecteerde systeem te leveren en te planten. Een andere manier waarop de MajikPOS-dreiging zijn weg vindt naar een systeem, is waarschijnlijk een externe desktoptoepassing die slecht is beveiligd.

Schrapt creditcardinformatie uit het RAM van POS-apparaten

De MajikPOS-malware schrapt het RAM-geheugen van het systeem (Random Access Memory) en zorgt ervoor dat alle gegevens met betrekking tot creditcardinformatie worden gevonden en verzameld. Omdat ze actief zijn in de Verenigde Staten en Canada, weten de aanvallers dat de POS-apparaten die worden gebruikt door de instellingen en bedrijven waarop ze zich richten, waarschijnlijk modern zullen zijn. Dit betekent dat de informatie waarnaar ze op zoek zijn niet op de schijf van het gecompromitteerde apparaat wordt opgeslagen. In plaats daarvan slaan meer moderne POS-apparaten creditcardgegevens op in hun RAM-geheugen, omdat dit veel veiliger is. Zoals u kunt zien, is deze beveiligingsmaatregel echter verre van voldoende om cyberaanvallen te voorkomen.

De verzamelde gegevens worden verkocht op een site die 'Magic Dump' wordt genoemd

De MajikPOS-bedreiging is geprogrammeerd om te zoeken naar creditcardgegevens met betrekking tot Visa, Mastercard, American Express, Discover, Diners Club, enz. Alle creditcardinformatie die de MajikPOS-malware verzamelt, wordt ook gecontroleerd met behulp van het Luhn-algoritme , die bedoeld is om te bepalen of de gegevens geldig zijn. De informatie die met succes de Luhn-algoritmecontrole doorloopt, wordt naar de C&C (Command & Control) -server van de aanvallers gefiltreerd. De auteurs van de MajikPOS-dreiging zullen de verzamelde gegevens vervolgens te koop aanbieden op een website die zij hebben opgezet. De site wordt 'Magic Dump' genoemd en het lijkt erop dat het hoogtepunt was toen de exploitanten meer dan 23.000 creditcardgegevens te koop hadden aangeboden.

De auteurs van de MajikPOS-dreiging lijken te weten wat ze aan het doen zijn, en het is waarschijnlijk dat ze veel ervaring hebben met het maken van dit soort malware. Instellingen en bedrijven moeten heel voorzichtig zijn bij het omgaan met de creditcardinformatie van hun klanten, omdat fouten hun reputatie en misschien hun hele vestiging kunnen kosten.