MajikPOS
Деятельность семейства вредоносных программ MajikPOS была впервые обнаружена более двух лет назад. Эксперты по вредоносным программам, исследовавшие угрозу, обнаружили, что целью атак, осуществляемых с помощью вредоносного ПО MajikPOS, является сбор информации о кредитных картах. Для достижения этой цели угроза MajikPOS будет использовать POS-устройство (Point-of-Sale) и собирать информацию о кредитной карте лиц, которые его используют. Большинство вредоносных программ, нацеленных на POS-устройства, имеют тенденцию нацеливаться на компании в более бедных регионах, так как более вероятно, что у них могут быть более слабые меры безопасности. Однако в случае угрозы MajikPOS цели находятся в Соединенных Штатах и Канаде. Вполне вероятно, что злоумышленники, возможно, взялись за эту более сложную задачу, потому что данные кредитных карт из этого региона можно продавать по гораздо более высоким ценам на подпольных форумах и рынках.
Оглавление
Как доставляется вредоносное ПО MajikPOS
При изучении угрозы исследователи в области кибербезопасности обнаружили, что в системах, которые были скомпрометированы вредоносным ПО MajikPOS, также присутствовал RAT (троян удаленного доступа). Это заставило их поверить, что авторы этой угрозы, вероятно, использовали RAT в качестве полезной нагрузки первого этапа, а затем использовали ее для доставки и установки вредоносного ПО MajikPOS в зараженную систему. Другим способом проникновения угрозы MajikPOS в систему может быть использование приложения для удаленного рабочего стола, которое плохо защищено.
Выскабливает данные кредитной карты из оперативной памяти POS-устройств
Вредоносная программа MajikPOS очищает оперативную память системы (оперативное запоминающее устройство) и обеспечивает обнаружение и сбор любых данных, которые могут быть связаны с информацией о кредитной карте. Поскольку они действуют в Соединенных Штатах и Канаде, злоумышленники знают, что POS-устройства, используемые учреждениями и предприятиями, на которые они ориентированы, скорее всего, будут современными. Это означает, что информация, которую они ищут, не будет храниться на диске скомпрометированного устройства. Вместо этого более современные POS-устройства хранят данные кредитных карт в своих ОЗУ, поскольку это намного безопаснее. Однако, как вы можете видеть, эта мера безопасности далеко не достаточна для предотвращения кибератак.
Собранные данные продаются на сайте под названием «Волшебный дамп»
Угроза MajikPOS была запрограммирована на поиск любых данных кредитных карт, связанных с Visa, Mastercard, American Express, Discover, Diners Club и т. Д. Вся информация о кредитных картах, которую собирает вредоносная программа MajikPOS, также будет проверяться с помощью алгоритма Luhn. , который предназначен для определения достоверности данных. Информация, которая успешно проходит проверку алгоритма Луна, будет передана на сервер C & C (Command & Control) атакующих. Затем авторы угрозы MajikPOS разместят собранные данные для продажи на настроенном ими веб-сайте. Сайт называется «Волшебный дамп», и, похоже, его кульминацией стало то, что у его операторов было выставлено на продажу более 23 000 кредитных карт.
Авторы угрозы MajikPOS, похоже, знают, что они делают, и вполне вероятно, что они очень опытны в создании вредоносных программ такого типа. Учреждения и предприятия должны быть очень осторожны при обращении с информацией о кредитных картах своих клиентов, поскольку ошибки могут стоить им репутации и, возможно, всему их заведению.
