MajikPOS
Die Aktivität der MajikPOS-Malware-Familie wurde zum ersten Mal vor über zwei Jahren entdeckt. Malware-Experten, die die Bedrohung untersucht haben, stellten fest, dass das Ziel der mit Hilfe der MajikPOS-Malware durchgeführten Angriffe darin besteht, Kreditkarteninformationen zu sammeln. Um dies zu erreichen, nutzt die MajikPOS-Bedrohung ein POS-Gerät (Point-of-Sale) und sammelt die Kreditkarteninformationen der Personen, die es verwenden. Die meisten Malware-Programme, die auf POS-Geräte abzielen, zielen tendenziell auf Unternehmen in ärmeren Regionen ab, da möglicherweise schwächere Sicherheitsmaßnahmen ergriffen werden. Im Falle der MajikPOS-Bedrohung befinden sich die Ziele jedoch in den USA und in Kanada. Es ist wahrscheinlich, dass die Angreifer diese anspruchsvollere Aufgabe übernommen haben, da Kreditkartendaten aus dieser Region in Untergrundforen und -märkten zu viel höheren Preisen verkauft werden können.
Inhaltsverzeichnis
Wie die MajikPOS-Malware ausgeliefert wird
Bei der Untersuchung der Bedrohung stellten Cybersicherheitsforscher fest, dass auf den Systemen, die von der MajikPOS-Malware befallen wurden, auch ein RAT-Trojaner (Remote Access Trojan) vorhanden war. Dies führte zu der Annahme, dass die Urheber dieser Bedrohung wahrscheinlich eine RAT als Nutzlast der ersten Stufe verwendet und diese dann dazu verwendet haben, die MajikPOS-Malware auf das infizierte System zu übertragen und dort zu platzieren. Eine andere Möglichkeit für die MajikPOS-Bedrohung, ihren Weg in ein System zu finden, könnte wahrscheinlich die Verwendung einer schlecht gesicherten Remotedesktopanwendung sein.
Kratzt Kreditkarteninformationen aus dem RAM von POS-Geräten
Die MajikPOS-Malware durchsucht den RAM (Random Access Memory) des Systems und stellt sicher, dass alle Daten gefunden und gesammelt werden, die möglicherweise mit Kreditkarteninformationen zusammenhängen. Da sie in den USA und in Kanada tätig sind, wissen die Angreifer, dass die POS-Geräte, die von den Institutionen und Unternehmen, auf die sie abzielen, verwendet werden, wahrscheinlich modern sein werden. Dies bedeutet, dass die Informationen, nach denen sie suchen, nicht auf der Festplatte des gefährdeten Geräts gespeichert werden. Stattdessen speichern modernere POS-Geräte Kreditkartendaten in ihrem RAM, da dies weitaus sicherer ist. Sie sehen jedoch, dass diese Sicherheitsmaßnahme nicht ausreicht, um Cyberangriffe zu verhindern.
Die gesammelten Daten werden auf einer Site verkauft, die als “Magic Dump” bezeichnet wird.
Die MajikPOS-Bedrohung wurde so programmiert, dass sie nach Kreditkartendaten in Bezug auf Visa, Mastercard, American Express, Discover, Diners Club usw. sucht. Alle Kreditkarteninformationen, die die MajikPOS-Malware sammelt, werden ebenfalls mit Hilfe des Luhn-Algorithmus überprüft , um festzustellen, ob die Daten gültig sind. Die Informationen, die die Luhn-Algorithmusprüfung erfolgreich durchlaufen, werden auf den C & C-Server (Command & Control) der Angreifer übertragen. Die Autoren der MajikPOS-Bedrohung stellen die gesammelten Daten dann auf einer von ihnen eingerichteten Website zum Verkauf. Die Website heißt "Magic Dump" und es scheint, dass der Höhepunkt der Website darin bestand, dass die Betreiber mehr als 23.000 Kreditkarteninformationen zum Verkauf angeboten hatten.
Die Autoren der MajikPOS-Bedrohung scheinen zu wissen, was sie tun, und es ist wahrscheinlich, dass sie sehr erfahren sind, wenn es darum geht, Malware dieses Typs zu erstellen. Institutionen und Unternehmen müssen beim Umgang mit den Kreditkarteninformationen ihrer Kunden sehr vorsichtig sein, da Fehler sie ihren Ruf und möglicherweise ihr gesamtes Unternehmen kosten können.
