MajikPOS er den nye POS malware lige opdaget og analyseret af forskere ved TrendMicro. Den malware er i øjeblikket rettet mod virksomheder i US. og Canada. Forskere mener, at angrebene begyndte i år omkring januar 28.
MajikPOS Teknisk oversigt
Den malware er typisk designet til at stjæle oplysninger, men kun har brug for en anden komponent fra serveren til at udføre sine RAM skrabe rutiner. Dens navn stammer fra kommandolinjen & kontrol-server panel, der modtager kommando og sende exfiltrated data, forskere forklare. Desværre, POS malware, MajikPOS inkluderet, bliver mere og mere sofistikerede og bliver bedre til at unddrage traditionelle forsvarsmekanismer.
Relaterede: 5,761 Online Stores inficeret med malware, Admins Do not Care
TrendMicro forskerne var i stand til at afdække de metoder, hackere, der anvendes til at få adgang til målrettede endpoints:
- Virtual Network Computing (VNC);
- Remote Desktop Protocol (RDP);
- Let at gætte brugernavne og passwords;
- Tidligere installerede rotter.
Angriberne først sørget for, at VNC og RDP eksisterede og var tilgængelige, og fortsatte med fingeraftryk målene. Så ville de forsøger at få adgang via generiske brugernavne og passwords eller via brute force. Forskerne var også i stand til at grave det tidspunkt, hvor rotter blev installeret på målrettede endpoints - et sted mellem august og november, 2016.
Hvis endpoint piques Misdæderne interesse, de bruger en kombination af VNC, RDP, RAT adgang, kommando-linje FTP (File Transfer Protocol), og undertiden en modificeret version af Ammyy Admin-en legitim, kommercielt tilgængelig fjernadministration værktøj til at installere MajikPOS ved direkte at downloade filerne normalt vært på gratis fil-hosting sites. I tilfælde af Ammyy Admin, sin filhåndtering kapacitet anvendes i stedet. Den modificerede udgave er undertiden opkaldt VNC_Server.exe eller Remote.exe.
MajikPOS blev skrevet i .NET, som anses for en usædvanlig teknik. Ikke desto mindre, Det er ikke den første POS malware til at bruge .NET. GamaPOS malware, som blev opdaget i 2015 er den første dokumenterede PoS malware skrevet i .NET framework.
MajikPOS Egenskaber
MajikPOS lighed med andre moderne malware bruger også krypteret kommunikation, således at det er vanskeligere at opdage det på netniveau. Den malware udnyttet åbne RDP havne, der ikke er uset i sådanne angreb.
TrendMicro bemærkede også, at operatørerne af malwaren indsat "almindeligt anvendte lateral bevægelse hacking værktøjer". Dette kunne betyde, at angriberne senere ville forsøge at yderligere infiltrere målrettede netværk.
Relaterede: Cyber kriminelle har Nye Mål - Online Payment Systems
I andre hændelser, TrendMicro vidne til en kommando-linje værktøj gearede til at implementere MajikPOS, sammen med andre PoS malware. En anden funktion, der gør MajikPOS bemærkelsesværdige er, hvordan det forsøger at skjule ved at efterligne almindelige filnavne i Microsoft Windows.
Som for afbødning, TrendMicro siger, at “korrekt konfigureret chip-and-pin kreditkort med end-to-end-kryptering (VMA) skulle være upåvirket af denne trussel.” Desværre, terminaler, der ikke understøtter dem er i fare. For fuld teknisk videregivelse, henvise til den fuldstændige rapport.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: