MajikPOS is de nieuwe POS-malware net ontdekt en geanalyseerd door onderzoekers van TrendMicro. De malware is momenteel gericht op bedrijven in de U.S. en Canada. Onderzoekers geloven dat de aanvallen begon dit jaar rond januari 28.
MajikPOS Technisch overzicht
De malware wordt doorgaans gebouwd om informatie te stelen, maar hoeft alleen een ander onderdeel van de server zijn RAM schrapen routines uit te voeren. De naam komt van het commando & control server panel dat de opdracht ontvangt en exfiltrated gegevens te verzenden, onderzoekers verklaren. Helaas, POS malware, MajikPOS opgenomen, wordt steeds geavanceerder en wordt steeds beter in het ontwijken van de traditionele afweermechanismen.
Verwant: 5,761 Online winkels geïnfecteerd met malware, Admins Do not Care
TrendMicro onderzoekers waren in staat zijn om de methoden van de hackers gebruikt om de toegang tot gerichte endpoints krijgen ontdekken:
- Virtual Network Computing (VNC);
- Remote desktop (RDP);
- Makkelijk te raden gebruikersnamen en wachtwoorden;
- Eerder geïnstalleerde RAT.
De aanvallers eerste zorgde ervoor dat VNC en RDP bestonden en waren toegankelijk, en ging met vingerafdrukken van de doelstellingen. Dan zouden ze proberen om toegang te verkrijgen via generieke gebruikersnamen en wachtwoorden of via brute kracht. De onderzoekers waren ook in staat om de tijd te ontgraven wanneer Rats On gerichte eindpunten waren geïnstalleerd - ergens tussen augustus en november, 2016.
Als het eindpunt gewekt het belang van de boosdoeners ', ze gebruiken een combinatie van VNC, RDP, toegang RAT, command-line FTP (File Transfer Protocol), en soms een aangepaste versie van Ammyy Admin-legitieme, in de handel verkrijgbare remote administration tool te MajikPOS installeren door rechtstreeks downloaden van de bestanden meestal gehost op gratis file hosting sites. In het geval van Ammyy Admin, de file manager vermogen wordt gebruikt in plaats. De aangepaste versie is soms genoemd VNC_Server.exe of remote.exe.
MajikPOS werd in .NET geschreven die wordt beschouwd als een ongewone techniek. Niettemin, Het is niet de eerste POS malware naar .NET gebruiken. GamaPOS malware die werd ontdekt in 2015 is de eerste gedocumenteerde PoS malware geschreven in het .NET framework.
MajikPOS Features
MajikPOS vergelijkbaar met andere moderne malware gebruikt ook gecodeerde communicatie, zodat het moeilijker te detecteren op netwerkniveau. De malware misbruikt geopend RDP havens die niet ongezien in dergelijke aanslagen.
TrendMicro ook waargenomen dat de exploitanten van de malware ingezet "veelgebruikte zijwaartse beweging hacking-tools". Dit kan betekenen dat de aanvallers later zou proberen om verder te infiltreren de beoogde netwerk.
Verwant: Cyber criminelen New Targets - Online Payment Systems
In andere voorvallen, TrendMicro getuige van een command-line tool ingezet om MajikPOS implementeren, naast andere PoS malware. Een ander kenmerk dat MajikPOS opmerkelijk maakt is hoe het probeert te verbergen door het nabootsen van gemeenschappelijke bestandsnamen in Microsoft Windows.
Zoals voor mitigatie, TrendMicro zegt dat “goed geconfigureerd chip-en-pin creditcards met end-to-end encryptie (EMVS) moet niet beïnvloed door deze dreiging.” Helaas, terminals die ze niet ondersteunen in gevaar. Voor de volledige technische openbaarmaking, Zie de volledige rapport.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: