MajikPOS

MajikPOSマルウェアファミリの活動は、2年以上前に最初に発見されました。この脅威を調査したマルウェアの専門家は、MajikPOSマルウェアの助けを借りて実行された攻撃の目的は、クレジットカード情報を収集することであることを発見しました。これを実現するために、MajikPOSの脅威はPOS（Point-of-Sale）デバイスを悪用し、それを使用する個人のクレジットカード情報を収集します。 POSデバイスを標的とするほとんどのマルウェアは、より弱いセキュリティ対策を実施している可能性が高いため、より貧しい地域の企業を標的とする傾向があります。ただし、MajikPOS脅威の場合、ターゲットは米国とカナダにあります。この地域のクレジットカードの詳細は、地下のフォーラムや市場ではるかに高い価格で販売される可能性があるため、攻撃者はこのより困難な作業を引き受けた可能性があります。

MajikPOSマルウェアの配信方法

脅威を調査する際、サイバーセキュリティ研究者は、MajikPOSマルウェアによって侵害されたシステムにもRAT（リモートアクセストロイの木馬）が存在することを発見しました。これにより、この脅威の作成者はおそらくRATを第1段階のペイロードとして使用し、それを利用して、感染したシステムにMajikPOSマルウェアを配信および植え付けたと考えられるようになりました。 MajikPOS脅威がシステムに侵入する別の方法は、セキュリティが不十分なリモートデスクトップアプリケーションを使用することです。

POSデバイスのRAMからクレジットカード情報をこすり落とします

MajikPOSマルウェアは、システムのRAM（ランダムアクセスメモリ）をスクレイピングし、クレジットカード情報に関連する可能性のあるデータを見つけて収集するようにします。彼らは米国とカナダで活動しているため、攻撃者は、標的とする機関や企業が使用するPOSデバイスが最新のものになる可能性が高いことを知っています。これは、侵入先の情報が侵入先のデバイスのディスクに保存されないことを意味します。代わりに、より現代的なPOSデバイスはクレジットカードの詳細をRAMに保存します。これははるかに安全だからです。ただし、ご覧のとおり、このセキュリティ対策はサイバー攻撃を防ぐのに十分ではありません。

収集されたデータは、「マジックダンプ」と呼ばれるサイトで販売されます

MajikPOS脅威は、Visa、Mastercard、American Express、Discover、Diners Clubなどに関連するクレジットカードデータを検索するようにプログラムされています。MajikPOSマルウェアが収集するすべてのクレジットカード情報も、Luhnアルゴリズムを使用して確認されます。 、データが有効かどうかを判断するためのものです。 Luhnアルゴリズムのチェックを正常に通過した情報は、攻撃者のC＆C（コマンド＆コントロール）サーバーに流出します。 MajikPOS脅威の作成者は、収集したデータを設定したWebサイトに掲載します。このサイトは「マジックダンプ」と呼ばれ、その頂点は、オペレーターが23,000枚以上のクレジットカード情報を販売していたときのようです。

MajikPOS脅威の作成者は自分が何をしているのかを知っているようで、このタイプのマルウェアの作成に関しては経験が豊富である可能性があります。機関や企業は、クライアントのクレジットカード情報を扱う際にミスを犯すことで評判を失い、場合によっては設立全体を損なう可能性があるため、慎重に扱う必要があります。