返回目录:电脑怎么了
近日,趋势科技【趋势科技——网络安全软件及服务领域的全球领导者,以卓越的前瞻和技术革新能力引领了从桌面防毒到网络服务器和网关防毒的潮流,以独特的服务理念向业界证明了趋势科技的前瞻性和领导地位。】发现了一种新的 PoS 机 恶意软件,命名为 MajikPOS 。MajikPOS 恶意软件旨在窃取用户密码,目标主要针对北美【北美(Northern America)通常指的是美国、加拿大和格陵兰岛等地区,是世界上经济最发达的大洲,其GDP总量明显超越了欧盟,其人均GDP更是远远的超越了欧盟,是世界15个大区之一。】和加拿大【加拿大(Canada),位于北美洲最北端,英联邦国家之一,素有“枫叶之国”的美誉,首都是渥太华。】的业务。
专家表示,虽然 MajikPOS 与其他 PoS 恶意软件的功能相同,但其模块化的执行方法却是极其独特的。2013 年 1 月底,研究人员第一次发现这款恶意软件。MajikPOS 的模块化结构与传统 POS 恶意软件不同,它只需要来自服务器的另一个组件来获取内存信息。MajikPOS 是由“.NET框架【.NET框架(.NET Framework) 是由微软开发,一个致力于敏捷软件开发(Agile softwaredevelopment)、快速应用开发(Rapidapplication development)、平台无关性和网络透明化的软件开发平台。】”编写而成,并建立加密通信通道以规避检测。
MajikPOS 可通过攻击虚拟网络计算( VNC【VNC (Virtual Network Console)是虚拟网络控制台的缩写。】 )和远程桌面协议【远程桌面协议(RDP)是一个多通道(multi-channel)的协议,让使用者(所在计算机称为用户端或'本地计算机')连上提供微软终端机服务的计算机(称为服务端或'远程计算机')。】( RDP【RDP 是一种面向连接的传输协议,其主要设计来为主机监控应用程序如下载 / 上传以及远程调试进行有效的大批数据传输。】 )猜测密码,访问 PoS 系统。在某些情况下,网络罪犯分子利用 FTP【FTP 是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。】 或 Ammyy Admin 的修改版来安装 MajikPOS 恶意软件。一旦安装在机器上,恶意代码便会连接到 C&C 服务器并接收具有三个条目的配置文件,以供稍后使用。
首先,攻击者会踩点目标,然后试图通过通用凭证或暴力攻击方法获取权限。在某些情况下,他们还会使用之前安装在系统上的RAT。这些攻击的共同之处在于这些RAT都是在2016年8月至11月期间安装在受害者设备上的。
MajikPOS是用.NET框架编写的,使用加密通信躲避检测并利用开放的RDP端口实施入侵。在某些情况下,攻击者会使用常见的侧向位移入侵工具,这说明他们尝试获取对受害者网络的进一步访问权限。
安装后,恶意软件会联系其C&C服务器记录被感染系统,并且收到带有三个条目的配置文件以备后用。这个C&C面板名为Magic Panel【Panel 是Windows 窗体的控件用于为其他控件提供可识别的分组。】。
MajikPOS的RAM【RAM,即Random-AccessMemory(随机存取存储器),它的特点是易挥发性,即掉电失忆。】清理组件是Conhost.exe并用于找到受害者设备上的信用卡数据。除了Magic Panel服务器外,研究人员还设法找到了一系列用于出售被盗信用卡信息的网站以及几个C&C面板。目前,攻击者在出售2.34万张信用卡,价格在9美元至39美元之间。
上个月,一个名为MagicDumps的用户在广告出售这些网站,研究人员发现这个人还在根据被盗来源更新卡信息帖子,这些来源基本是在美国和加拿大。
研究人员指出,利用端对端【端对端是针对网络中传输的两端设备间的关系而言的。】加密方法正确配置chip【“Chip”技术作为生命科学的最新技术近些年来发展迅速,被广泛的应用于各个生命科学领域,包括疾病预测与诊断、基因突变检测、遗传学产前诊断等临床应用中。】-and-pin【Pin是个人标识号,personal identification number,用于保护智能卡免受误用的秘密标识代码。】信用卡的用户应该不会受此影响,不过不支持这些加密的终端可能也会带来风险。美国已使用了EMV【EMV(ease of movement value)EMV简易移动值,发明者Richard W Arms Jr他根据等量图原理制作而成的。】导致网络欺诈行为不断上涨。话虽如此,EMV还是要比磁条卡更安全。
专家常常建议商家使用端到端加密的方式正确配置芯片和个人信用卡,然而不幸的是目前仍有很多商家尚未能提供足够的保护措施。