MajikPOS

MajikPOS Beskrivning

MajikPOS-skadefamiljens aktivitet upptäcktes först för mer än två år sedan. Malware-experter som undersökte hotet fann att syftet med attackerna som genomfördes med hjälp av MajikPOS-skadlig programvara är att samla in kreditkortsinformation. För att uppnå detta skulle MajikPOS-hotet utnyttja en POS-enhet (försäljningsstället) och samla in kreditkortsinformationen för de personer som använder den. De flesta skadliga program som riktar sig till POS-enheter tenderar att rikta in sig på företag i fattigare regioner, eftersom det är mer troligt att de kan ha svagare säkerhetsåtgärder på plats. Men när det gäller MajikPOS-hotet, är målen dock belägna i USA och Kanada. Det är troligt att angriparna kan ha tagit upp denna mer utmanande uppgift eftersom kreditkortsuppgifter från denna region kan säljas till mycket högre priser på underjordiska forum och marknader.

Hur MajikPOS Malware levereras

När de studerade hotet fann forskare för cybersäkerhet att systemen, som komprometterades av MajikPOS-skadlig programvara, också hade en RAT (Remote Access Trojan) närvarande på dem. Detta fick dem att tro att författarna till detta hot troligen har använt en RAT som en nyttolast i första steget och sedan använt den för att leverera och plantera MajikPOS-skadlig kod på det infekterade systemet. Ett annat sätt för MajikPOS-hotet att hitta vägen in i ett system kan troligen vara genom att använda ett fjärrskrivbordsprogram som har säkrats dåligt.

Skrapar kreditkortsinformation från POS Devices RAM

MajikPOS-skadliga program skrapar systemets RAM (Random Access Memory) och ser till att hitta och samla in all information som kan vara relaterad till kreditkortsinformation. Eftersom de är verksamma i USA och Kanada vet angriparna att POS-enheterna som används av institutionerna och företagen de riktar sig troligen kommer att vara moderna. Detta innebär att informationen efter det inte kommer att lagras på disken på den komprometterade enheten. Istället lagrar mer moderna POS-enheter kreditkortsuppgifter i RAM-minnena eftersom det är mycket säkrare. Men som ni ser är denna säkerhetsåtgärd tillräckligt långt för att förhindra cyberattacker.

Den insamlade informationen säljs på en webbplats som kallas 'Magic Dump'

MajikPOS-hotet har programmerats för att leta efter alla kreditkortsdata relaterade till Visa, Mastercard, American Express, Discover, Diners Club, etc. All kreditkortsinformation som MajikPOS-skadliga program samlar också kommer att kontrolleras med hjälp av Luhn-algoritmen , vilket är avsett att bestämma om uppgifterna är giltiga. Informationen som går igenom Luhn-algoritmkontrollen framgångsrikt kommer att filtreras till C&C (Command & Control) -servern för angriparna. Författarna till MajikPOS-hotet kommer sedan att lägga de insamlade uppgifterna till salu på en webbplats som de har satt upp. Webbplatsen kallas 'Magic Dump', och det verkar som om dess kulminering var när operatörerna hade mer än 23 000 kreditkortsinformation till försäljning.

Författarna till MajikPOS-hotet verkar veta vad de gör, och det är troligt att de är mycket erfarna när det gäller att skapa skadlig programvara av denna typ. Institutioner och företag måste vara mycket försiktiga när de hanterar kreditkortsinformationen för sina kunder eftersom misstag kan kosta dem deras rykte och kanske hela anläggningen.