Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,467
- Points
- 113
Компания Trend Micro обнаружила новое вредоносное ПО для PoS, отслеживаемое как MajikPOS, которое нацелено на бизнес в Северной Америке и Канаде.
Эксперты по безопасности Trend Micro обнаружили новое вредоносное ПО для PoS, известное как MajikPOS, которое нацелено на бизнес в Северной Америке.
Эксперты объяснили, что MajikPOS имеет те же возможности, что и любое другое вредоносное ПО для PoS, но отличается интересным модульным подходом в исполнении.
Первые атаки с использованием MajikPOS наблюдались в конце января 2017 года, вредоносный код заимствует функции у вредоносного ПО PoS и трояна удаленного доступа (RAT).
«Мы обнаружили новую разновидность вредоносного ПО для торговых точек (PoS), которое в настоящее время поражает предприятия в Северной Америке и Канаде: MajikPOS (обнаруживается Trend Micro как TSPY_MAJIKPOS.A)». читает анализ, предоставленный Trend Micro». Как и многие другие вредоносные программы для PoS, MajikPOS предназначен для кражи информации, но его модульный подход к выполнению делает его отличным от других.
В наблюдали последние исследователи других PoS вредоносных с несколькими компонентами, которые возложена задача по отличившимся признаков (т.е. FastPOS (его обновленный вариант), Gorynych, ModPOS), но в соответствии с Trend Micro Модульная конструкция MajikPOS совершенно отличается. MajikPOS нужен только другой компонент с сервера для выполнения процедуры очистки RAM.
MajikPOS написан с использованием «.NET framework» и использует зашифрованный канал связи, чтобы избежать обнаружения.
Мошенники не использовали изощренные методы для компрометации целей, они смогли получить доступ к системам PoS с помощью атак грубой силы на службы виртуальных сетевых вычислений (VNC) и протокола удаленного рабочего стола (RDP), защищенные легко угадываемыми паролями. .
В некоторых случаях киберпреступники использовали FTP из командной строки (протокол передачи файлов) или модифицированную версию Ammyy Admin для установки вредоносного ПО MajikPOS.
В некоторых случаях злоумышленники использовали RAT, ранее установленные в системе, исследователи заметили, что в нескольких атаках RAT были установлены на машинах целей в период с августа по ноябрь 2016 года.
Взглянув на другие уловки MajikPOS, эксперты заметили, что его операторы использовали часто используемые инструменты взлома с боковым перемещением, чтобы получить доступ к другим системам в хост-сети.
После установки на машину вредоносный код подключается к C&C серверу и получает файл конфигурации с тремя записями, которые будут использоваться позже.
Ниже изображение панели C&C, которая называется Magic Panel.
Компонент очистки RAM называется Conhost.exe, он сканирует память в поисках данных карт основных эмитентов карт, включая American Express, Diners Club, Discover, Maestro, Mastercard и Visa.
Он проверяет данные трека кредитной карты и затем отправляет их на C&C сервер через HTTP POST.
«После проверки данных отслеживания кредитной карты информация отправляется на C&C сервер через HTTP POST, Action =« bin » ». продолжает пост, опубликованный Trend Micro.
Дальнейшее расследование позволило экспертам обнаружить, что регистрант серверов Magic Panel также зарегистрировал множество других веб-сайтов, используемых для продажи украденных данных кредитных карт.
По данным Trend Micro, веб-сайты, которыми управляет банда, стоящая за угрозой, в настоящее время предлагают на продажу около 23 400 украденных треков кредитных карт по цене от 9 до 39 долларов, в зависимости от типа карты. Мошенники также предлагают оптовые пакеты карт из 25, 50 и 100 штук по цене 250, 400 и 700 долларов соответственно.
«Некоторые из этих веб-сайтов рекламировались на кардинг форумах еще в феврале 2017 года пользователем по имени «MagicDumps», который обновлял форумы для новых свалок в зависимости от местоположения - в основном в США и Канаде». добавил Trend Micro.
В качестве стратегии смягчения последствий эксперты предлагают правильно настроенные кредитные карты с чипом и PIN-кодом со сквозным шифрованием, к сожалению, многие продавцы до сих пор не внедрили PIN-код в процесс чип-и-PIN.
Эксперты по безопасности Trend Micro обнаружили новое вредоносное ПО для PoS, известное как MajikPOS, которое нацелено на бизнес в Северной Америке.
Эксперты объяснили, что MajikPOS имеет те же возможности, что и любое другое вредоносное ПО для PoS, но отличается интересным модульным подходом в исполнении.
Первые атаки с использованием MajikPOS наблюдались в конце января 2017 года, вредоносный код заимствует функции у вредоносного ПО PoS и трояна удаленного доступа (RAT).
«Мы обнаружили новую разновидность вредоносного ПО для торговых точек (PoS), которое в настоящее время поражает предприятия в Северной Америке и Канаде: MajikPOS (обнаруживается Trend Micro как TSPY_MAJIKPOS.A)». читает анализ, предоставленный Trend Micro». Как и многие другие вредоносные программы для PoS, MajikPOS предназначен для кражи информации, но его модульный подход к выполнению делает его отличным от других.
В наблюдали последние исследователи других PoS вредоносных с несколькими компонентами, которые возложена задача по отличившимся признаков (т.е. FastPOS (его обновленный вариант), Gorynych, ModPOS), но в соответствии с Trend Micro Модульная конструкция MajikPOS совершенно отличается. MajikPOS нужен только другой компонент с сервера для выполнения процедуры очистки RAM.
MajikPOS написан с использованием «.NET framework» и использует зашифрованный канал связи, чтобы избежать обнаружения.
Мошенники не использовали изощренные методы для компрометации целей, они смогли получить доступ к системам PoS с помощью атак грубой силы на службы виртуальных сетевых вычислений (VNC) и протокола удаленного рабочего стола (RDP), защищенные легко угадываемыми паролями. .
В некоторых случаях киберпреступники использовали FTP из командной строки (протокол передачи файлов) или модифицированную версию Ammyy Admin для установки вредоносного ПО MajikPOS.
В некоторых случаях злоумышленники использовали RAT, ранее установленные в системе, исследователи заметили, что в нескольких атаках RAT были установлены на машинах целей в период с августа по ноябрь 2016 года.
Взглянув на другие уловки MajikPOS, эксперты заметили, что его операторы использовали часто используемые инструменты взлома с боковым перемещением, чтобы получить доступ к другим системам в хост-сети.
После установки на машину вредоносный код подключается к C&C серверу и получает файл конфигурации с тремя записями, которые будут использоваться позже.
Ниже изображение панели C&C, которая называется Magic Panel.
Компонент очистки RAM называется Conhost.exe, он сканирует память в поисках данных карт основных эмитентов карт, включая American Express, Diners Club, Discover, Maestro, Mastercard и Visa.
Он проверяет данные трека кредитной карты и затем отправляет их на C&C сервер через HTTP POST.
«После проверки данных отслеживания кредитной карты информация отправляется на C&C сервер через HTTP POST, Action =« bin » ». продолжает пост, опубликованный Trend Micro.
Дальнейшее расследование позволило экспертам обнаружить, что регистрант серверов Magic Panel также зарегистрировал множество других веб-сайтов, используемых для продажи украденных данных кредитных карт.
По данным Trend Micro, веб-сайты, которыми управляет банда, стоящая за угрозой, в настоящее время предлагают на продажу около 23 400 украденных треков кредитных карт по цене от 9 до 39 долларов, в зависимости от типа карты. Мошенники также предлагают оптовые пакеты карт из 25, 50 и 100 штук по цене 250, 400 и 700 долларов соответственно.
«Некоторые из этих веб-сайтов рекламировались на кардинг форумах еще в феврале 2017 года пользователем по имени «MagicDumps», который обновлял форумы для новых свалок в зависимости от местоположения - в основном в США и Канаде». добавил Trend Micro.
В качестве стратегии смягчения последствий эксперты предлагают правильно настроенные кредитные карты с чипом и PIN-кодом со сквозным шифрованием, к сожалению, многие продавцы до сих пор не внедрили PIN-код в процесс чип-и-PIN.
