MajikPOS ist das neue POS-Malware nur von den Forschern an Trend Micro entdeckt und analysiert. Die Malware wird derzeit gezielt Unternehmen in der US-. und Kanada. Die Forscher glauben, dass die Angriffe in diesem Jahr etwa im Januar begonnen 28.
MajikPOS Technischer Überblick
Die Malware wird in der Regel zu stehlen Informationen entworfen, sondern braucht nur eine andere Komponente vom Server seine RAM Schaben Routinen durchzuführen. Sein Name stammt von dem Befehl & Steuerungsserver Panel, das exfiltrated Datenbefehl und senden empfängt, Forscher erklären. Leider, POS-Malware, MajikPOS inbegriffen, immer raffinierter wird immer und wird immer besser traditionelle Abwehrmechanismen bei Umgehung.
verbunden: 5,761 Online-Shops mit Malware infiziert, Admins Do not Care
Trend Micro Forscher waren in der Lage, die Methoden der Hacker verwendet, um aufzudecken, den Zugang zu speziellen Endpunkten zu gewinnen:
- Virtual Network Computing (VNC);
- Remote Desktop Protocol (RDP);
- Easy-to-Vermutung Benutzernamen und Passwörter;
- Zuvor installierte RATS.
Die Angreifer zuerst sorgte dafür, dass VNC und RDP bestanden und waren zugänglich, und fuhr fort, die Ziele mit Fingerabdrücken. Dann würden sie versuchen, den Zugriff über generische Benutzernamen zu erhalten und Passwörter oder über Brute-Force. Die Forscher waren auch in der Lage, die Zeit ans Licht zu bringen, wenn RATS auf gezielte Endpunkten installiert wurden - irgendwo zwischen August und November, 2016.
Wenn der Endpunkt piques Interesse "der Missetäter, sie verwenden eine Kombination von VNC, RDP, RAT Zugang, Befehlszeilen-FTP (File Transfer Protocol), und manchmal eine modifizierte Version von Ammyy Admin-ein legitimes, im Handel erhältliche Remote-Administrations-Tool zu MajikPOS installieren, indem Sie die Dateien direkt in der Regel gehostet Download auf freie Datei-Hosting-Sites. Im Fall von Ammyy Admin, seine Dateimanager Fähigkeit wird stattdessen verwendet. Die modifizierte Version wird manchmal VNC_Server.exe oder Remote.exe benannt.
MajikPOS wurde in .NET geschrieben, die eine ungewöhnliche Technik betrachtet wird. Dennoch, es ist nicht das erste POS-Malware .NET zu verwenden,. GamaPOS Malware, die in entdeckt wurde 2015 ist die erste in der .NET-Framework geschrieben PoS Malware dokumentiert.
MajikPOS Eigenschaften
MajikPOS ähnlich wie andere moderne Malware verwendet ebenfalls verschlüsselte Kommunikation, so dass es schwieriger ist, sie auf Netzwerkebene zu erfassen. Die Malware offenen RDP-Ports genutzt, die nicht ungesehen in solchen Angriffen ist.
Trend Micro auch beobachtet, dass die Betreiber der Malware eingesetzt "häufig eine seitliche Bewegung Hacking-Tools verwendet". Dies könnte bedeuten, dass die Angreifer später versuchen würde, um die gezielte Netzwerk infiltrieren.
verbunden: Von Cyber-Verbrechern Neue Ziele - Online-Zahlungssysteme
In anderen Vorfällen, Trend Micro Zeuge eines Kommandozeilen-Tool genutzt MajikPOS bereitstellen, neben anderen PoS Malware. Ein weiteres Merkmal, das MajikPOS bemerkenswert macht, ist, wie es durch die Nachahmung von gemeinsamen Dateinamen in Microsoft Windows zu verbergen versucht,.
Wie für den Klimaschutz, Trend Micro sagt, dass “richtig konfiguriert Chip-und-Pin-Kreditkarten mit End-to-End-Verschlüsselung (EMVs) sollte diese Bedrohung nicht betroffen.” Leider, Terminals, die sie nicht in Gefahr unterstützen, sind. Für die vollständigen technischen Informationen, beziehen sich auf die volle Bericht.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: