MajikPOS
Aktywność szkodliwego oprogramowania MajikPOS została po raz pierwszy zauważona ponad dwa lata temu. Eksperci od złośliwego oprogramowania, którzy badali zagrożenie, stwierdzili, że celem ataków przeprowadzanych za pomocą szkodliwego oprogramowania MajikPOS jest zebranie informacji o karcie kredytowej. Aby to osiągnąć, zagrożenie MajikPOS wykorzystałoby urządzenie POS (punkt sprzedaży) i zgromadziłoby dane karty kredytowej osób, które z niego korzystają. Większość złośliwego oprogramowania atakującego urządzenia POS ma tendencję do atakowania firm w biedniejszych regionach, ponieważ bardziej prawdopodobne jest, że zastosują słabsze zabezpieczenia. Jednak w przypadku zagrożenia MajikPOS cele znajdują się w Stanach Zjednoczonych i Kanadzie. Prawdopodobnie osoby atakujące podjęły się tego trudniejszego zadania, ponieważ dane kart kredytowych z tego regionu można sprzedawać po znacznie wyższych cenach na podziemnych forach i rynkach.
Spis treści
Jak dostarczane jest złośliwe oprogramowanie MajikPOS
Badając zagrożenie, badacze cyberbezpieczeństwa stwierdzili, że systemy, które zostały zaatakowane przez złośliwe oprogramowanie MajikPOS, również miały na sobie trojana RAT (Remote Access Trojan). Doprowadziło to ich do przekonania, że autorzy tego zagrożenia prawdopodobnie wykorzystali RAT jako ładunek pierwszego etapu, a następnie wykorzystali go do dostarczenia i zainstalowania złośliwego oprogramowania MajikPOS w zainfekowanym systemie. Innym sposobem, aby zagrożenie MajikPOS przedostało się do systemu, może być prawdopodobnie użycie słabo zabezpieczonej aplikacji pulpitu zdalnego.
Zeskrobuje informacje o karcie kredytowej z pamięci RAM urządzeń POS
Złośliwe oprogramowanie MajikPOS zgarnia pamięć systemową RAM (pamięć o dostępie swobodnym) oraz zapewnia zlokalizowanie i zebranie wszelkich danych, które mogą być związane z informacjami o karcie kredytowej. Ponieważ działają w Stanach Zjednoczonych i Kanadzie, osoby atakujące wiedzą, że urządzenia POS używane przez instytucje i firmy, na które atakują, będą prawdopodobnie nowoczesne. Oznacza to, że informacje, których szukają, nie będą przechowywane na dysku zainfekowanego urządzenia. Zamiast tego bardziej współczesne urządzenia POS przechowują dane kart kredytowych w swoich pamięciach RAM, ponieważ jest to znacznie bezpieczniejsze. Jednak, jak widać, ten środek bezpieczeństwa nie jest wystarczający, aby zapobiec cyberatakom.
Zebrane dane są sprzedawane na stronie o nazwie „Magic Dump”
Zagrożenie MajikPOS zostało zaprogramowane do wyszukiwania danych karty kredytowej związanych z Visa, Mastercard, American Express, Discover, Diners Club itp. Wszystkie informacje o karcie kredytowej gromadzone przez złośliwe oprogramowanie MajikPOS zostaną również sprawdzone za pomocą algorytmu Luhn , który ma na celu określenie, czy dane są prawidłowe. Informacje, które pomyślnie przejdą kontrolę algorytmu Luhna, zostaną wyekstrahowane na serwer C&C (Command & Control) atakujących. Autorzy zagrożenia MajikPOS umieszczą następnie zebrane dane w sprzedaży na utworzonej przez nich stronie internetowej. Witryna nosi nazwę „Magic Dump” i wydaje się, że jej zwieńczeniem było, gdy operatorzy mieli do sprzedaży ponad 23 000 informacji o kartach kredytowych.
Autorzy zagrożenia MajikPOS zdają się wiedzieć, co robią i jest prawdopodobne, że mają duże doświadczenie w tworzeniu złośliwego oprogramowania tego typu. Instytucje i firmy muszą zachować szczególną ostrożność przy przetwarzaniu informacji o karcie kredytowej swoich klientów, ponieważ błędy mogą kosztować ich reputację i być może cały zakład.
