MajikPOS est le nouveau malware POS vient de découvrir et analysé par des chercheurs de TrendMicro. Le malware cible actuellement entreprises dans le U.S. et au Canada. Les chercheurs croient que les attaques ont commencé cette année autour de Janvier 28.
MajikPOS Présentation technique
Le malware est généralement conçu pour voler des informations, mais seulement besoin d'un autre composant sur le serveur pour effectuer ses routines RAM raclage. Son nom vient de la commande & panneau de serveur de contrôle qui reçoit la commande et envoyer des données exfiltré, chercheurs expliquent. Malheureusement, POS logiciels malveillants, MajikPOS inclus, est de plus en plus sophistiqué et est de mieux en mieux à éluder les mécanismes de défense traditionnels.
en relation: 5,761 Magasins en ligne infectés par des malwares, Admins Do not Care
chercheurs TrendMicro ont pu découvrir les méthodes les pirates utilisés pour accéder aux terminaux ciblés:
- Virtual Network Computing (VNC);
- Remote Desktop Protocol (RDP);
- Facile à deviner les noms d'utilisateur et mots de passe;
- RAT déjà installés.
Les assaillants ont d'abord fait en sorte que VNC et RDP existaient et étaient accessibles, et a procédé à des empreintes digitales des objectifs. Ensuite, ils tenter d'obtenir un accès via les noms d'utilisateur et mots de passe génériques ou par la force brute. Les chercheurs ont également pu découvrir le moment où RAT ont été installés sur les postes ciblés - quelque part entre Août et Novembre, 2016.
Si le critère pique l'intérêt des malfaiteurs, ils utilisent une combinaison de VNC, RDP, accès RAT, de ligne de commande FTP (Protocole de transfer de fichier), et parfois une version modifiée de Ammyy Admin-légitime, disponible dans le commerce outil à distance d'administration installer MajikPOS en téléchargeant directement les fichiers habituellement hébergé sur des sites de fichiers d'hébergement gratuits. Dans le cas de Ammyy Admin, sa capacité de gestionnaire de fichiers est utilisé à la place. La version modifiée est parfois nommé VNC_Server.exe ou Remote.exe.
MajikPOS a été écrit en .NET qui est considéré comme une technique rare. Cependant, il est pas le premier malware POS à utiliser .NET. GamaPOS malware qui a été découvert en 2015 est le premier malware PoS documenté écrit dans le cadre de .NET.
Caractéristiques MajikPOS
MajikPOS similaire à d'autres logiciels malveillants moderne utilise également la communication cryptée de sorte qu'il est plus difficile à détecter au niveau du réseau. Le malware exploité ports RDP ouverts qui ne sont pas invisible dans de telles attaques.
TrendMicro a également observé que les opérateurs du malware déployés "couramment utilisé des outils de piratage de mouvement latéral". Cela pourrait signifier que les assaillants seraient plus tard tenter d'infiltrer davantage le réseau ciblé.
en relation: Les criminels de Cyber avoir de nouvelles cibles - Systèmes de paiement en ligne
Dans d'autres incidents, TrendMicro a été témoin d'un outil de ligne de commande à effet de levier pour déployer MajikPOS, aux côtés d'autres logiciels malveillants PoS. Une autre caractéristique qui rend MajikPOS notable est la façon dont il essaie de se cacher en imitant les noms de fichiers communs dans Microsoft Windows.
En ce qui concerne l'atténuation, TrendMicro dit que “correctement configuré les cartes de crédit à puce et broches avec chiffrement de bout en bout (EMVS) devrait être affecté par cette menace.” Malheureusement, terminaux qui ne les soutiennent sont à risque. Pour information technique complète, reportez-vous à la pleine rapport.