MajikPOSは、トレンドマイクロの研究者によって発見および分析されたばかりの新しいPOSマルウェアです。. このマルウェアは現在、米国の企業を標的にしています. とカナダ. 研究者たちは、攻撃は今年1月頃に始まったと信じています 28.
MajikPOS技術概要
マルウェアは通常、情報を盗むように設計されていますが、RAMスクレイピングルーチンを実行するためにサーバーから別のコンポーネントのみが必要です。. その名前はコマンドに由来します & コマンドを受信し、盗み出されたデータを送信する制御サーバーパネル, 研究者は説明します. 不運にも, POSマルウェア, MajikPOSが含まれています, ますます洗練されてきており、従来の防衛機構を回避するのが上手になっています.
関連している: 5,761 マルウェアに感染したオンラインストア, 管理者は気にしない
トレンドマイクロの研究者は、ハッカーが標的のエンドポイントにアクセスするために使用した方法を明らかにすることができました。:
- 仮想ネットワークコンピューティング (VNC);
- リモートデスクトッププロトコル (RDP);
- 推測しやすいユーザー名とパスワード;
- 以前にインストールされたRAT.
攻撃者はまず、VNCとRDPが存在し、アクセス可能であることを確認しました, ターゲットのフィンガープリントを続行しました. 次に、一般的なユーザー名とパスワード、またはブルートフォースを介してアクセスを取得しようとします。. 研究者はまた、RATがターゲットエンドポイントにインストールされた時期を明らかにすることができました–8月から11月の間のどこか, 2016.
エンドポイントが悪意のある人の興味をそそる場合, それらはVNCの組み合わせを使用します, RDP, RATアクセス, コマンドラインFTP (ファイル転送プロトコル), 時にはAmmyyAdminの修正バージョン—正当なもの, 市販のリモート管理ツール—通常は無料のファイルホスティングサイトでホストされているファイルを直接ダウンロードしてMajikPOSをインストールします. AmmyyAdminの場合, 代わりにそのファイルマネージャ機能が使用されます. 変更されたバージョンは、VNC_Server.exeまたはRemote.exeと呼ばれることもあります.
MajikPOSは、珍しい手法と見なされている.NETで記述されています。. それにもかかわらず, .NETを使用する最初のPOSマルウェアではありません. で発見されたGamaPOSマルウェア 2015 .NETFrameworkで記述された最初の文書化されたPoSマルウェアです.
MajikPOSの機能
MajikPOSは、他の最新のマルウェアと同様に暗号化された通信を使用するため、ネットワークレベルでの検出がより困難になります. マルウェアは、そのような攻撃では見られないオープンRDPポートを悪用しました.
トレンドマイクロはまた、マルウェアのオペレーターが「一般的に使用される横方向の動きのハッキングツール」. これは、攻撃者が後で標的のネットワークにさらに侵入しようとすることを意味する可能性があります.
関連している: サイバー犯罪者には新しいターゲットがあります–オンライン決済システム
他の事件では, トレンドマイクロは、MajikPOSを展開するために活用されたコマンドラインツールを目撃しました, 他のPoSマルウェアと一緒に. MajikPOSを注目に値するもう1つの機能は、MicrosoftWindowsで一般的なファイル名を模倣して非表示にしようとする方法です。.
緩和策について, トレンドマイクロによると “エンドツーエンド暗号化を備えた適切に構成されたチップアンドピンクレジットカード (EMV) この脅威の影響を受けないはずです.” 不運にも, それらをサポートしていない端末は危険にさらされています. 完全な技術的開示について, 完全に参照してください 報告.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: