محققان ترندمیکرو هشدار دادند که یک بدافزار پایانه‌ی فروش کشف شده و دارای رویکرد ماژولار است. این بدافزار شرکت‌های تجاری در آمریکای شمالی را هدف قرار داده است. این بدافزار با نام MajikPOS مانند سایر تهدیدات در حوزه‌ی پایانه‌های فروش، به سرقت اطلاعات بر روی دستگاه آلوده می‌پردازد ولی رویکرد ماژولار در این بدافزار، آن را از سایر بدافزارها متمایز کرده است. اولین حملات بدافزار MajikPOS اواخر ماه ژانویه مشاهده شده بود.

کارشناسان ترندمیکرو می‌گویند این بدافزار پس از ارتباط با کارگزار دستور و کنترل تنها به یک مؤلفه از طرف کارگزار نیاز دارد تا کار سرقت اطلاعات حافظه را آغاز کند. محققان همچنین نشان دادند که این بدافزار از رویکرد ترکیبی مربوط به تهدیدات پایانه‌‌ی فروش و تروجان‌های دسترسی از راه دور استفاده می‌کند.

مهاجمان می‌توانند با استفاده از پروتکل رومیزی راه دور (RDP) و پردازش شبکه‌ی مجازی (VNC) بر روی پایانه‌ی قربانی به‌طور غیرقانونی دسترسی پیدا کنند. خط فرمان FTP و در برخی موارد Ammyy Admin برای نصب بدافزار مورد استفاده قرار می‌گیرد. ابزارهایی که برای نصب بدافزار استفاده می‌شوند، معمولاً از وب‌گاه‌های میزبانی به‌طور رایگان بارگیری می‌شوند.

در مرحله‌ی اول، مهاجمان پس از شناسایی اهداف، تلاش می‌کنند با حملات جستجوی فراگیر، گواهی‌نامه‌های عمومی کاربران را بدست آورده و به سامانه دسترسی پیدا کنند. بدافزار MajikPOS با چارچوب .NET نوشته شده و برای جلوگیری از تشخیص، از ارتباطات رمزنگاری‌شده استفاده می‌کند. این بدافزار مانند سایر تهدیدات از درگاه‌های باز RDP برای نفوذ استفاده می‌کند. در برخی موارد مشاهده شده مهاجمان از ابزارهای جانبی برای دسترسی بیشتر به شبکه‌ی قربانی استفاده می‌کنند.

پس از نصب بدافزار، با کارگزار دستور و کنترل ارتباط برقرار شده و دستگاه قربانی در کارگزار ثبت می‌شود. در ادامه نیز یک پرونده‌ی پیکربندی برای مراحل بعدی از روی کارگزار بازیابی می‌شود. این پرونده حاوی ۳ رکورد است که در مراحل بعدی حمله مورد استفاده قرار می‌گیرد. پنلی که در کارگزار دستور و کنترل وجود دارد، پنل مجیک نامیده شده و محققان امنیتی دو مورد از آن را کشف کرده‌اند.

بدافزار MajikPOS دارای مؤلفه‌ای برای سرقت اطلاعات موجود در حافظه‌ی RAM است. این مؤلفه Conhost.exe نام دارد و مسئول پیدا کردن داده‌های مربوط به کارت‌های پرداخت بر روی سامانه‌ی قربانی است. این مؤلفه پس از جمع‌آوری داده‌ها، آن‌ها را در قالب درخواست‌های HTTP POST به سمت کارگزار دستور و کنترل ارسال می‌کند.

علاوه بر پنل‌هایی که در کارگزار دستور و کنترل مشاهده شده بود، محققان چند وب‌گاه را شناسایی کردند که برای فروش اطلاعات این کارت‌های اعتباری ثبت شده‌اند. در حال حاضر مهاجمان ۲۳۴۰۰ داده مربوط به کارت‌های پرداخت را برای فروش گذاشته‌اند. قیمت این اطلاعات، بسته به نوع کارت بین ۹ تا ۳۹ دلار است. داده‌های کارت‌های پرداخت در بسته‌های ۲۵، ۵۰ و ۱۰۰ تایی بسته‌بندی شده و به ترتیب به قیمت ۲۵۰، ۴۰۰ و ۷۰۰ دلار به فروش می‌رسد.

ماه گذشته کاربری با شناسه‌ی MagicDumps این وب‌گاه‌ها را در انجمن‌های کارت‌های اعتباری تبلیغ می‌کرد. براساس اطلاعات مکانی که از این کاربر ردیابی شده، محققان ترندمیکرو متوجه شدند همین کاربر پست‌های خود در انجمن را به‌روزرسانی کرده و از فروش کارت‌های اعتباری جدید خبر داده است. به گفته‌ی محققان ترندمیکرو، تراشه و پینی که به‌درستی پیکربندی شده و در ارتباطات انتها به انتها از رمزنگاری استفاده می‌کند، کارت‌های اعتباری مربوط به آن در معرض تهدید این بدافزار قرار ندارند.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

بدافزار پایانه‌ی فروش MajikPOS، شرکت‌های آمریکای شمالی را هدف قرار داده است

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *