MajikPOS – Bir POS Kötü Amaçlı Yazılım Saldırısı Ve Kredi / Banka Kartlarından Ödeme Verileri Çalma
Son zamanlarda, Group-IB'nin siber güvenlik araştırmacıları, tehdit aktörlerinin satış noktası ödeme cihazlarından iki güvenlik açığından yararlandığını ve 167.000'den fazla kredi kartı verisini çaldığını keşfetti.
Group-IB tarafından 19 Nisan 2022'de yapılan bir güvenlik denetimi sırasında, POS kötü amaçlı yazılımı için MajikPOS (aka MagicPOS) kod adlı bir C2 sunucusu tespit edildi. Uzmanlar, sunucunun zayıf yapılandırması nedeniyle sunucunun operatörlerinin etkinliğini analiz edebildiler.
2017'nin başlarında, Trend Micro MajikPOS PoS kötü amaçlı yazılımını ilk kez keşfetti. O zamanlar tehdit aktörleri tarafından aşağıdaki bölgelerdeki şirketleri hedeflemek için kullanıldı:
- Kuzey Amerika
- Kanada
MajikPOS
MajikPOS POS kötü amaçlı yazılımı, Treasure Hunter'ın (diğer adıyla TREASUREHUNT) halefidir. 2014'ten beri Hazine Avcısı güvenlik araştırmacılarının radarı altında kaldı. 2018 yılında, Treasure Hunter'ın kaynak kodu sızdırıldı.
"Tespit edilmekten kaçınmak amacıyla MajikPOS .NET ile yazılır ve şifreli bir kanal üzerinden sunucusuyla iletişim kurar. Operatörler tarafından hedeflenen kurbanları tehlikeye atmak için sofistike yöntemlerin kullanıldığına dair bir işaret yoktu" diyor Group-IB, Cyber Security News ile paylaşılan araştırma belgesinde.
VNC ve RDP hizmetlerine yapılan kaba kuvvet saldırılarının yardımıyla, tehdit aktörleri PoS sistemlerine erişim sağladı. MajikPOS kötü amaçlı yazılımları bazen tehdit aktörleri tarafından Komut satırı FTP veya Ammyy Admin'in modifiye edilmiş sürümleri kullanılarak yüklenmiştir.
Cartonash kullanıcı adına sahip bir kullanıcı, yeraltı forumunda "exploit[.]in" MajikPOS kaynak kodunun 18 Temmuz 2019 tarihinde satışına ilişkindir.
O zamandan beri DarkWeb'de dolaşıyor. Bu şekilde, belirli bir tehdit aktörüne veya grubuna atamak giderek zorlaşır.
Çalınan Veriler
Soruşturma sırasında Group-IB uzmanları tarafından aşağıdaki şeyler keşfedildi:
- MajikPOS panelinde 77.400 adet tekil kart dökümü bulunmaktadır.
- Hazine Avcısı panelinde 90.000 benzersiz kart dökümü var.
Çalınan kredi kartlarının çoğu, aşağıda listelediğimiz aşağıdaki ülkelerdeki bankalar tarafından verilir:
- ABD
- Porto Riko
- Peru
- Panama
- Birleşik Krallık
- Kanada
- Fransa
- Polonya
- Norveç
- Kosta Rika
Bu kötü amaçlı yazılımın arkasında kimin olduğu veya arkasında hangi tehdit aktörü grubunun olduğu bilinmiyor. Şu anda bile, çalınan verilerin parasal kazanç için üçüncü taraflara satılıp satılmadığı belli değil.
Bu çöplüklerin çalınmasının bir sonucu olarak, tehdit aktörleri çöplükleri yeraltı pazarlarında sattıkları takdirde 3.340.000 dolara kadar çıkabileceklerdi.
Bunun sonucunda ciddi sonuçlardan kaçınmak için bankaların yeterli koruma önlemlerini almaları önemlidir. Tehdit aktörleri, klonlanmış kartları kullanmak için bu durumdan kolayca yararlanabilecekler. Klonlanmış kartları bu şekilde kullanarak şunları yapabilecekler:
- Para transferi
- Para çekme
- İzinsiz işlemler
Bununla birlikte, PoS kötü amaçlı yazılımlarının sınırlamaları, son birkaç yıl içinde tehdit aktörlerine çekiciliğinin azalmasına neden olmuştur.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News