MajikPOS

Description de MajikPOS

L'activité de la famille de logiciels malveillants MajikPOS a été découverte pour la première fois il y a plus de deux ans. Les experts en logiciels malveillants qui ont enquêté sur la menace ont découvert que l'objectif des attaques menées à l'aide du logiciel malveillant MajikPOS est de collecter des informations de carte de crédit. Pour ce faire, la menace MajikPOS exploiterait un dispositif de point de vente et collecterait les informations de carte de crédit des personnes qui l'utilisent. La plupart des programmes malveillants ciblant les terminaux de paiement ont tendance à cibler les entreprises situées dans les régions les plus pauvres, car il est plus probable qu'elles disposent de mesures de sécurité moins strictes. Cependant, dans le cas de la menace MajikPOS, les cibles sont situées aux États-Unis et au Canada. Il est probable que les assaillants se soient attaqués à cette tâche plus ardue, car les détails des cartes de crédit de cette région peuvent être vendus à des prix beaucoup plus élevés sur des forums et des marchés clandestins.

Comment les logiciels malveillants MajikPOS sont-ils livrés?

Lors de l'étude de la menace, les chercheurs en cybersécurité ont constaté que les systèmes, qui avaient été compromis par le programme malveillant MajikPOS, avaient également un RAT (Remote Access Trojan) présent. Cela les a amenés à penser que les auteurs de cette menace avaient probablement utilisé une RAT comme charge utile de première étape, puis l'avaient utilisée pour diffuser et installer le logiciel malveillant MajikPOS sur le système infecté. Une autre façon pour la menace MajikPOS de se frayer un chemin dans un système consiste probablement à utiliser une application de bureau à distance mal sécurisée.

Supprime les informations de carte de crédit de la RAM des périphériques de point de vente

Le malware MajikPOS récupère la RAM (Random Access Memory) du système et permet de localiser et de collecter toutes les données pouvant être liées aux informations de carte de crédit. Comme ils opèrent aux États-Unis et au Canada, les attaquants savent que les appareils de point de vente utilisés par les institutions et les entreprises qu’ils ciblent seront probablement modernes. Cela signifie que les informations qu'ils recherchent ne seront pas stockées sur le disque du périphérique compromis. Au lieu de cela, les périphériques de point de vente plus contemporains stockent les informations de carte de crédit dans leurs RAM, car cela est beaucoup plus sûr. Cependant, comme vous pouvez le constater, cette mesure de sécurité est loin d’être suffisante pour prévenir les cyberattaques.

Les données collectées sont vendues sur un site appelé "Magic Dump"

La menace MajikPOS a été programmée pour rechercher toutes les données de carte de crédit liées à Visa, Mastercard, American Express, Discover, Diners Club, etc. Toutes les informations de carte de crédit collectées par le malware MajikPOS seront également vérifiées à l'aide de l'algorithme de Luhn. , qui vise à déterminer si les données sont valides. Les informations qui passent avec succès la vérification de l'algorithme Luhn seront transférées au serveur C & C (Command & Control) des attaquants. Les auteurs de la menace MajikPOS mettront ensuite les données collectées en vente sur un site Web qu'ils ont créé. Le site s’appelle «Magic Dump» et il semblerait que son point culminant a été obtenu lorsque ses opérateurs avaient plus de 23 000 informations de cartes de crédit en vente.

Les auteurs de la menace MajikPOS semblent savoir ce qu'ils font et il est probable qu'ils sont très expérimentés dans la création de logiciels malveillants de ce type. Les institutions et les entreprises doivent faire très attention lors du traitement des informations de carte de crédit de leurs clients, car des erreurs peuvent leur coûter leur réputation et peut-être même leur établissement.