MajikPOS
La actividad de la familia de malware MajikPOS se detectó por primera vez hace más de dos años. Los expertos en malware que investigaron la amenaza encontraron que el objetivo de los ataques llevados a cabo con la ayuda del malware MajikPOS es recopilar información de la tarjeta de crédito. Para lograr esto, la amenaza MajikPOS explotaría un dispositivo de punto de venta (POS) y reuniría la información de la tarjeta de crédito de las personas que lo usan. La mayoría del malware que se dirige a dispositivos POS tiende a apuntar a compañías en regiones más pobres, ya que es más probable que tengan medidas de seguridad más débiles. Sin embargo, en el caso de la amenaza MajikPOS, los objetivos se encuentran en los Estados Unidos y Canadá. Es probable que los atacantes hayan asumido esta tarea más desafiante porque los detalles de las tarjetas de crédito de esta región se pueden vender a precios mucho más altos en foros y mercados clandestinos.
Tabla de contenido
Cómo se entrega el malware MajikPOS
Al estudiar la amenaza, los investigadores de ciberseguridad descubrieron que los sistemas, que estaban comprometidos por el malware MajikPOS, también tenían presente un RAT (troyano de acceso remoto). Esto los llevó a creer que los autores de esta amenaza probablemente usaron una RAT como carga útil de primera etapa y luego la utilizaron para entregar y plantar el malware MajikPOS en el sistema infectado. Otra forma de que la amenaza MajikPOS llegue a un sistema podría ser mediante el uso de una aplicación de escritorio remota que se haya protegido de manera deficiente.
Raspa la información de la tarjeta de crédito de la RAM de los dispositivos POS
El malware MajikPOS raspa la RAM del sistema (memoria de acceso aleatorio) y se asegura de localizar y recopilar cualquier información que pueda estar relacionada con la información de la tarjeta de crédito. Dado que están operando en los Estados Unidos y Canadá, los atacantes saben que los dispositivos POS utilizados por las instituciones y las empresas a las que apuntan probablemente sean modernos. Esto significa que la información que buscan no se almacenará en el disco del dispositivo comprometido. En cambio, los dispositivos POS más modernos almacenan los detalles de la tarjeta de crédito en sus RAM, ya que esto es mucho más seguro. Sin embargo, como puede ver, esta medida de seguridad está lejos de ser suficiente para prevenir ataques cibernéticos.
Los datos recopilados se venden en un sitio llamado 'Magic Dump'
La amenaza MajikPOS se ha programado para buscar datos de tarjetas de crédito relacionadas con Visa, Mastercard, American Express, Discover, Diners Club, etc. Toda la información de la tarjeta de crédito que recopila el malware MajikPOS también se verificará con la ayuda del algoritmo Luhn , que está destinado a determinar si los datos son válidos. La información que pasa con éxito la verificación del algoritmo de Luhn se filtrará al servidor C&C (Comando y Control) de los atacantes. Los autores de la amenaza MajikPOS pondrán los datos recopilados a la venta en un sitio web que hayan configurado. El sitio se llama 'Magic Dump', y parece que su culminación fue cuando sus operadores tenían a la venta más de 23,000 tarjetas de crédito.
Los autores de la amenaza MajikPOS parecen saber lo que están haciendo, y es probable que tengan mucha experiencia a la hora de crear malware de este tipo. Las instituciones y las empresas deben tener mucho cuidado al manejar la información de la tarjeta de crédito de sus clientes, ya que los errores pueden costarles su reputación y tal vez todo su establecimiento.
