近日,趋势科技发现了一种新的 PoS 机 恶意软件,命名为 MajikPOS 。MajikPOS 恶意软件旨在窃取用户密码,目标主要针对北美和加拿大的业务。
专家表示,虽然 MajikPOS 与其他 PoS 恶意软件的功能相同,但其模块化的执行方法却是极其独特的。2013 年 1 月底,研究人员第一次发现这款恶意软件。MajikPOS 的模块化结构与传统 POS 恶意软件不同,它只需要来自服务器的另一个组件来获取内存信息。MajikPOS 是由“.NET框架”编写而成,并建立加密通信通道以规避检测。
MajikPOS 可通过攻击虚拟网络计算( VNC )和远程桌面协议( RDP )猜测密码,访问 PoS 系统。在某些情况下,网络罪犯分子利用 FTP 或 Ammyy Admin 的修改版来安装 MajikPOS 恶意软件。一旦安装在机器上,恶意代码便会连接到 C&C 服务器并接收具有三个条目的配置文件,以供稍后使用。
首先,攻击者会踩点目标,然后试图通过通用凭证或暴力攻击方法获取权限。在某些情况下,他们还会使用之前安装在系统上的RAT。这些攻击的共同之处在于这些RAT都是在2016年8月至11月期间安装在受害者设备上的。
MajikPOS是用.NET框架编写的,使用加密通信躲避检测并利用开放的RDP端口实施入侵。在某些情况下,攻击者会使用常见的侧向位移入侵工具,这说明他们尝试获取对受害者网络的进一步访问权限。
安装后,恶意软件会联系其C&C服务器记录被感染系统,并且收到带有三个条目的配置文件以备后用。这个C&C面板名为Magic Panel。
PoS机恶意软件MajikPOS攻击北美和加拿大用户-E安全
MajikPOS的RAM清理组件是Conhost.exe并用于找到受害者设备上的信用卡数据。除了Magic Panel服务器外,研究人员还设法找到了一系列用于出售被盗信用卡信息的网站以及几个C&C面板。目前,攻击者在出售2.34万张信用卡,价格在9美元至39美元之间。
上个月,一个名为MagicDumps的用户在广告出售这些网站,研究人员发现这个人还在根据被盗来源更新卡信息帖子,这些来源基本是在美国和加拿大。
研究人员指出,利用端对端加密方法正确配置chip-and-pin信用卡的用户应该不会受此影响,不过不支持这些加密的终端可能也会带来风险。美国已使用了EMV导致网络欺诈行为不断上涨。话虽如此,EMV还是要比磁条卡更安全。
专家常常建议商家使用端到端加密的方式正确配置芯片和个人信用卡,然而不幸的是目前仍有很多商家尚未能提供足够的保护措施。
本文转自d1net(转载)