Yakın zamanda, Group-IB’nin siber güvenlik araştırmacıları, tehdit aktörlerinin satış noktası ödeme cihazlarından iki güvenlik açığından yararlandığını ve 167.000’den fazla kredi kartı verisini çaldığını keşfetti.
Group-IB tarafından 19 Nisan 2022’de gerçekleştirilen bir güvenlik denetimi sırasında, POS kötü amaçlı yazılımı için MajikPOS (aka MagicPOS) kod adlı bir C2 sunucusu tespit edildi. Uzmanlar, sunucunun zayıf yapılandırması nedeniyle sunucu operatörlerinin etkinliğini analiz edebildiler.
Trend Micro, 2017’nin başlarında, MajikPOS PoS kötü amaçlı yazılımını ilk kez keşfetti. O zamanlar tehdit aktörleri tarafından aşağıdaki bölgelerdeki şirketleri hedeflemek için kullanılıyordu:-
MajikPOS
MajikPOS POS kötü amaçlı yazılımı, Treasure Hunter’ın (aka TREASUREHUNT) halefidir. 2014’ten beri Treasure Hunter, güvenlik araştırmacılarının radarı altında kaldı. 2018 yılında ise Treasure Hunter’ın kaynak kodu sızdırılmıştı.
“MajikPOS, tespitten kaçınmak amacıyla .NET’te yazılıyor ve sunucusuyla şifreli bir kanal üzerinden haberleşiyor. Cyber Security News ile paylaşılan araştırma belgesinde Group-IB, operatörler tarafından hedeflenen kurbanları tehlikeye atmak için kullanılan karmaşık yöntemlere dair hiçbir işaret olmadığını söyledi.
VNC ve RDP hizmetlerine yapılan kaba kuvvet saldırılarının yardımıyla, tehdit aktörleri PoS sistemlerine erişim sağladı. MajikPOS kötü amaçlı yazılımı bazen tehdit aktörleri tarafından Komut Satırı FTP veya Ammyy Admin’in değiştirilmiş sürümleri kullanılarak yüklendi.
Cartonash kullanıcı adına sahip bir kullanıcı, yeraltı forumunda “exploit” üzerine bir duyuru yayınladı.[.]18 Temmuz 2019 tarihinde MajikPOS kaynak kodunun satışı ile ilgili olarak.
O zamandan beri DarkWeb’de dolaşıyor. Bu şekilde, onu belirli bir tehdit aktörüne veya grubuna atamak giderek zorlaşıyor.
Veri Koltuğu
Grup-IB uzmanları tarafından soruşturma sırasında aşağıdakiler keşfedildi:-
- MajikPOS panelinde 77.400 adet benzersiz kart dökümü bulunmaktadır.
- Hazine Avcısı panelinde 90.000 benzersiz kart dökümü vardır.
Çalınan kredi kartlarının çoğu, aşağıda listelediğimiz aşağıdaki ülkelerdeki bankalar tarafından verilmektedir:-
- Birleşik Devletler
- Porto Riko
- Peru
- Panama
- Birleşik Krallık
- Kanada
- Fransa
- Polonya
- Norveç
- Kosta Rika
Bu kötü amaçlı yazılımın arkasında kimin olduğu veya arkasında hangi tehdit aktörlerinin olduğu bilinmiyor. Şu anda bile çalınan verilerin parasal kazanç için üçüncü şahıslara satılıp satılmadığı belli değil.
Bu çöplüklerin çalınmasının bir sonucu olarak, tehdit aktörleri çöplükleri yeraltı pazarlarında satarlarsa 3.340.000 $’a kadar kazanabilecekler.
Bunun bir sonucu olarak ciddi sonuçlardan kaçınmak için bankaların yeterli koruma önlemleri alması önemlidir. Tehdit aktörleri, klonlanmış kartları kullanmak için bu durumdan kolaylıkla yararlanabileceklerdir. Klonlanmış kartları bu şekilde kullanarak şunları yapabilecekler: –
- Fonların transferi
- fonların çekilmesi
- Yetkisiz işlemler
Bununla birlikte, PoS kötü amaçlı yazılımlarının sınırlamaları, son birkaç yılda tehdit aktörleri için çekiciliğinin azalmasına yol açmıştır.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin