MajikPOS

Descrição do MajikPOS

A atividade da família de malware MajikPOS foi detectada pela primeira vez há dois anos. Os especialistas em malware que pesquisaram a ameaça descobriram que o objetivo dos ataques realizados com a ajuda do malware MajikPOS é coletar informações de cartão de crédito. Para conseguir isso, a ameaça MajikPOS exploraria um dispositivo POS (ponto de venda) e coletaria as informações de cartão de crédito das pessoas que o usam. A maioria dos malwares direcionados aos dispositivos POS tende a atingir empresas nas regiões mais pobres, pois é mais provável que elas tenham medidas de segurança mais fracas. No entanto, no caso da ameaça MajikPOS, os alvos estão localizados nos Estados Unidos e no Canadá. É provável que os atacantes tenham assumido essa tarefa mais desafiadora porque os detalhes do cartão de crédito dessa região podem ser vendidos por preços muito mais altos em fóruns e mercados clandestinos.

Como o Malware MajikPOS é Entregue

Ao estudar a ameaça, os pesquisadores de segurança cibernética descobriram que os sistemas comprometidos pelo malware MajikPOS também tinham um RAT (Trojan de Acesso Remoto) presente neles. Isso os levou a acreditar que os autores dessa ameaça provavelmente usaram um RAT como uma carga útil de primeiro estágio e depois o utilizaram para entregar e plantar o malware MajikPOS no sistema infectado. Outra maneira de a ameaça do MajikPOS encontrar seu caminho em um sistema provavelmente seria usando um aplicativo de área de trabalho remota que foi mal protegido.

Recolhe as Informações do Cartão de Crédito da RAM dos Dispositivos POS

O malware MajikPOS raspa a RAM do sistema (Memória de Acesso Aleatório) e certifica-se de localizar e coletar quaisquer dados que possam estar relacionados às informações do cartão de crédito. Como estão operando nos Estados Unidos e no Canadá, os atacantes sabem que os dispositivos de PDV usados pelas instituições e empresas visadas provavelmente serão modernos. Isso significa que as informações que eles procuram não serão armazenadas no disco do dispositivo comprometido. Em vez disso, dispositivos POS mais contemporâneos armazenam detalhes do cartão de crédito em suas RAMs, pois isso é muito mais seguro. No entanto, como você pode ver, essa medida de segurança está longe de ser suficiente para impedir ataques cibernéticos.

Os Dados Coletados são Vendidos em um Site Chamado 'Magic Dump'

A ameaça MajikPOS foi programada para procurar dados de cartão de crédito relacionados a Visa, Mastercard, American Express, Discover, Diners Club, etc. Todas as informações de cartão de crédito que o malware MajikPOS reúne também serão verificadas com a ajuda do algoritmo Luhn , que visa determinar se os dados são válidos. As informações que passam pela verificação do algoritmo de Luhn serão exfiltradas para o servidor C&C (Command & Control) dos atacantes. Os autores da ameaça MajikPOS colocarão os dados coletados à venda em um site que eles configuraram. O site é chamado de 'Magic Dump' e parece que seu ponto culminante foi quando suas operadoras tinham mais de 23.000 informações de cartões de crédito à venda.

Os autores da ameaça MajikPOS parecem saber o que estão fazendo, e é provável que tenham muita experiência na criação de malware desse tipo. Instituições e empresas precisam ter muito cuidado ao manipular as informações de cartão de crédito de seus clientes, pois erros podem custar sua reputação e talvez todo o estabelecimento.