MajikPOS es el nuevo malware POS simplemente descubierto y analizado por investigadores de TrendMicro. El software malicioso se encuentra actualmente destinadas a las empresas en el U.S. y Canadá. Los investigadores creen que los ataques comenzaron este año en torno a enero 28.
Descripción técnica general MajikPOS
El software malicioso está típicamente diseñado para robar información, sino sólo necesita otro componente del servidor para llevar a cabo sus rutinas RAM raspado. Su nombre proviene de la orden & Panel de control de servidor que recibe comandos y enviar datos exfiltraron, investigadores explican. Desafortunadamente, POS malware, MajikPOS incluido, es cada vez más sofisticado y es cada vez mejor para evadir los mecanismos de defensa tradicionales.
Relacionado: 5,761 Tiendas en línea infectado con malware, Administradores no cuida
investigadores TrendMicro fueron capaces de descubrir los métodos de los hackers utilizan para tener acceso a los puntos finales específicos:
- Virtual Network Computing (VNC);
- Protocolo de escritorio remoto (RDP);
- Fácil de adivinar nombres de usuario y contraseñas;
- RAT previamente instalados.
Los atacantes primero se aseguró de que existían VNC y RDP y eran accesibles, y procedió con las huellas dactilares de los objetivos. Entonces sería intentar obtener acceso a través de nombres de usuario y contraseñas genéricas o por medio de la fuerza bruta. Los investigadores también fueron capaces de descubrir el tiempo cuando las ratas fueron instalados en los puntos finales específicos - en algún lugar entre agosto y noviembre, 2016.
Si el punto final despierta el interés de los malhechores ', que utilizan una combinación de VNC, RDP, acceso RAT, de línea de comandos FTP (Protocolo de transferencia de archivos), y, a veces una versión modificada de Ammyy Admin-un legítimo, disponible en el mercado de herramientas de administración remota instalar MajikPOS descargando directamente los archivos normalmente alojado en sitios de alojamiento de archivos gratis. En el caso de Ammyy Admin, su capacidad de administrador de archivos se utiliza en vez. La versión modificada a veces se denomina VNC_Server.exe o Remote.exe.
MajikPOS fue escrita en .NET que se considera una técnica poco común. No obstante, no es el primero de software malicioso POS utilizar .NET. GamaPOS el malware que fue descubierto en 2015 es el primer punto de venta de software malicioso documentado escrito en el marco .NET.
Características MajikPOS
MajikPOS de manera similar a otros tipos de malware moderno también utiliza la comunicación encriptada de manera que es más difícil de detectar que el nivel de la red. El malware explotados puertos abiertos RDP que no es desconocido en este tipo de ataques.
TrendMicro también observó que los operadores del malware desplegados "comúnmente utilizado herramientas de hacking movimiento lateral". Esto podría significar que los atacantes más tarde intentar infiltrarse aún más la red objetivo.
Relacionado: Los criminales cibernéticos se han New Targets - Sistemas de pagos electrónicos
En otros incidentes, TrendMicro fue testigo de una herramienta de línea de comandos aprovechado para desplegar MajikPOS, junto con otro malware punto de venta. Otra característica que hace MajikPOS notable es la forma en que trata de ocultar mediante la imitación de los nombres de archivos comunes en Microsoft Windows.
En cuanto a la mitigación, TrendMicro dice que “tarjetas de crédito chip y pin con cifrado de extremo a extremo configurado correctamente (VEMs) no debería verse afectada por esta amenaza.” Desafortunadamente, terminales que no soportan ellos están en riesgo. Para una descripción técnica completa, referirse a la plena informe.