MajikPOS è il nuovo malware POS appena scoperto e analizzato dai ricercatori TrendMicro. Il malware è attualmente di mira le aziende nel fuori degli USA. e il Canada. I ricercatori ritengono che gli attacchi hanno iniziato quest'anno intorno a gennaio 28.
MajikPOS Panoramica tecnica
Il malware è in genere progettati per rubare informazioni, ma solo bisogno di un altro componente dal server di svolgere le sue RAM scraping routine. Il suo nome deriva dal comando & pannello di controllo del server che riceve il comando e inviare i dati fatti riparare, ricercatori spiegano. Sfortunatamente, POS di malware, MajikPOS incluso, sta diventando sempre più sofisticati ed è sempre meglio a eludere i meccanismi di difesa tradizionali.
Correlata: 5,761 Negozi on-line infettati da malware, Gli amministratori non si cura
ricercatori TrendMicro stati in grado di scoprire i metodi utilizzati gli hacker per ottenere l'accesso agli endpoint mirati:
- Virtual Network Computing (VNC);
- Remote Desktop Protocol (RDP);
- Facile da indovinare nomi utente e password;
- RAT installati in precedenza.
Gli aggressori prima fatto in modo che VNC e RDP esistevano ed erano accessibili, e ha proceduto con impronte digitali gli obiettivi. Poi avrebbero tentare di ottenere l'accesso tramite nome utente e password generici o tramite la forza bruta. I ricercatori sono stati anche in grado di portare alla luce il momento in cui i ratti sono stati installati sugli endpoint mirati - in qualche luogo tra agosto e novembre, 2016.
Se l'endpoint suscita l'interesse dei malfattori ', usano una combinazione di VNC, RDP, accesso RAT, Riga di comando FTP (File Transfer Protocol), e talvolta una versione modificata di Ammyy Admin-legittimo, disponibile in commercio amministrazione remota strumento per l'installazione MajikPOS scaricando direttamente i file di solito ospitati su siti di file-hosting gratuito. Nel caso di Ammyy Admin, la sua capacità di gestione dei file è usato al posto. La versione modificata viene talvolta chiamato VNC_Server.exe o remote.exe.
MajikPOS è stato scritto in .NET che è considerata una tecnica non comune. Ciò nonostante, non è il primo di malware POS utilizzare NET. GamaPOS di malware che è stato scoperto in 2015 è il primo di malware PoS documentato scritto nel framework .NET.
Caratteristiche MajikPOS
MajikPOS analogamente a altri tipi di malware moderna utilizza anche la comunicazione criptata in modo che sia più difficile da rilevare che a livello di rete. Il malware sfruttato le porte aperte RDP che non è invisibile in questi attacchi.
TrendMicro anche osservato che gli operatori del malware distribuiti "comunemente utilizzati strumenti di hacking movimento laterale". Questo potrebbe significare che gli aggressori sarebbero poi tentare di infiltrarsi ulteriormente la rete mirata.
Correlata: I criminali informatici hanno nuovi obiettivi - sistemi di pagamento online
In altri incidenti, TrendMicro assistito uno strumento da riga di comando sfruttato per distribuire MajikPOS, al fianco di altri malware PoS. Un'altra caratteristica che rende MajikPOS notevole è come si cerca di nascondere imitando i nomi di file comuni in Microsoft Windows.
Per quanto riguarda la mitigazione, TrendMicro dice che “configurato correttamente le carte di credito di chip-and-pin con la crittografia end-to-end (VEM) dovrebbe essere influenzato da questa minaccia.” Sfortunatamente, terminali che non li supportano sono a rischio. Per una completa informativa tecnica, consultare la piena rapporto.