MajikPOS Malware Doelen Bedrijven in de U.S.. en Canada

MajikPOS Malware Doelen Bedrijven in de U.S.. en Canada

MajikPOS is de nieuwe POS-malware net ontdekt en geanalyseerd door onderzoekers van TrendMicro. De malware is momenteel gericht op bedrijven in de U.S. en Canada. Onderzoekers geloven dat de aanvallen begon dit jaar rond januari 28.


MajikPOS Technisch overzicht

De malware wordt doorgaans gebouwd om informatie te stelen, maar hoeft alleen een ander onderdeel van de server zijn RAM schrapen routines uit te voeren. De naam komt van het commando & control server panel dat de opdracht ontvangt en exfiltrated gegevens te verzenden, onderzoekers verklaren. Helaas, POS malware, MajikPOS opgenomen, wordt steeds geavanceerder en wordt steeds beter in het ontwijken van de traditionele afweermechanismen.

Verwant: 5,761 Online winkels geïnfecteerd met malware, Admins Do not Care

TrendMicro onderzoekers waren in staat zijn om de methoden van de hackers gebruikt om de toegang tot gerichte endpoints krijgen ontdekken:

  • Virtual Network Computing (VNC);
  • Remote desktop (RDP);
  • Makkelijk te raden gebruikersnamen en wachtwoorden;
  • Eerder geïnstalleerde RAT.

De aanvallers eerste zorgde ervoor dat VNC en RDP bestonden en waren toegankelijk, en ging met vingerafdrukken van de doelstellingen. Dan zouden ze proberen om toegang te verkrijgen via generieke gebruikersnamen en wachtwoorden of via brute kracht. De onderzoekers waren ook in staat om de tijd te ontgraven wanneer Rats On gerichte eindpunten waren geïnstalleerd - ergens tussen augustus en november, 2016.

Als het eindpunt gewekt het belang van de boosdoeners ', ze gebruiken een combinatie van VNC, RDP, toegang RAT, command-line FTP (File Transfer Protocol), en soms een aangepaste versie van Ammyy Admin-legitieme, in de handel verkrijgbare remote administration tool te MajikPOS installeren door rechtstreeks downloaden van de bestanden meestal gehost op gratis file hosting sites. In het geval van Ammyy Admin, de file manager vermogen wordt gebruikt in plaats. De aangepaste versie is soms genoemd VNC_Server.exe of remote.exe.

MajikPOS werd in .NET geschreven die wordt beschouwd als een ongewone techniek. Niettemin, Het is niet de eerste POS malware naar .NET gebruiken. GamaPOS malware die werd ontdekt in 2015 is de eerste gedocumenteerde PoS malware geschreven in het .NET framework.


MajikPOS Features

MajikPOS vergelijkbaar met andere moderne malware gebruikt ook gecodeerde communicatie, zodat het moeilijker te detecteren op netwerkniveau. De malware misbruikt geopend RDP havens die niet ongezien in dergelijke aanslagen.

TrendMicro ook waargenomen dat de exploitanten van de malware ingezet "veelgebruikte zijwaartse beweging hacking-tools". Dit kan betekenen dat de aanvallers later zou proberen om verder te infiltreren de beoogde netwerk.

Verwant: Cyber ​​criminelen New Targets - Online Payment Systems

In andere voorvallen, TrendMicro getuige van een command-line tool ingezet om MajikPOS implementeren, naast andere PoS malware. Een ander kenmerk dat MajikPOS opmerkelijk maakt is hoe het probeert te verbergen door het nabootsen van gemeenschappelijke bestandsnamen in Microsoft Windows.

Zoals voor mitigatie, TrendMicro zegt dat “goed geconfigureerd chip-en-pin creditcards met end-to-end encryptie (EMVS) moet niet beïnvloed door deze dreiging.” Helaas, terminals die ze niet ondersteunen in gevaar. Voor de volledige technische openbaarmaking, Zie de volledige rapport.

Milena Dimitrova

Een geïnspireerde schrijver, gericht op de privacy van gebruikers en kwaadaardige software. Geniet ‘Mr. Robot’ en angsten ‘1984’.

Meer berichten - Website

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Nieuwsbrief
Abonneer je op regelmatige updates te ontvangen over de toestand van PC Security en de meest recente threads.