Une nouvelle forme de malware POS (Point of Service), appelée MajikPOS, a récemment été découverte par des chercheurs en sécurité chez Trend Micro. Le nouveau malware a été utilisé dans des attaques ciblées contre des entreprises aux États-Unis, au Canada et en Australie.
Les chercheurs ont identifié les malwares MajikPOS pour la première fois fin janvier, alors qu’ils avaient déjà été utilisés dans de nombreuses attaques contre des détaillants. Une enquête plus poussée a révélé que ces attaques avaient été menées depuis août 2016.
Les malwares MajikPOS ont une conception modulaire et ont été écrits en .NET, un cadre logiciel commun utilisé pour les malwares POS. La conception des malwares MajikPOS prend en charge un certain nombre de fonctions qui peuvent être utilisées pour recueillir des informations sur les réseaux et identifier les systèmes de points de vente et autres ordinateurs qui traitent les données financières.
Les attaquants infectent les ordinateurs en exploitant de faibles informations d’identification. Des attaques brutales sont menées sur les ports VNC (Virtual Network Computing) et RDP (Remote Desktop Protocol) ouverts.
Diverses techniques peuvent être utilisées pour installer les malwares MajikPOS et échapper à la détection, en s’appuyant dans certains cas sur les RAT ayant déjà été installés sur les systèmes des détaillants. Le malware comprend un composant de raclage de RAM pour identifier les données de carte de crédit et utilise un canal crypté pour communiquer avec son C&C et exfiltrer les données non détectées.
Les malwares MajikPOS sont utilisés par une organisation cybercriminelle bien organisée et le vol des détails des cartes de crédit sont à grande échelle. Ces informations sont ensuite vendues sur des « dump shops » sur le darknet. Les numéros de cartes de crédit volées, que les chercheurs estiment à au moins 23 400, sont vendus entre 9 et 39 $ l’unité, ou par lots de 25, 50 ou 100$. La majorité de ces cartes appartiennent à des particuliers aux États-Unis ou au Canada.
Les infections de malwares dans les systèmes de points de vente peuvent être dévastatrices
Un certain nombre de vecteurs d’attaque différents peuvent être utilisés pour installer des malwares dans les points de vente. Ils peuvent s’installer lorsque des employés tombent dans le piège des e-mails de spear phishing. Les cybercriminels prennent souvent pied dans les réseaux de détaillants parce que les employés divulguent des informations d’identification lorsqu’ils répondent à des e-mails de phishing.
Les attaques via des kits d’exploitation ont diminué ces derniers mois. Cependant, la menace n’a pas disparu et les campagnes de publicité malveillantes et les liens malveillants envoyés par e-mail sont toujours utilisés dans les attaques ciblées contre les détaillants américains.
Les attaques par force brute sont également fréquentes, ce qui souligne l’importance de modifier les informations d’identification par défaut et de définir des mots de passe forts.
Les infections de malwares dans les systèmes de points de vente peuvent s’avérer incroyablement coûteuses pour les détaillants. Il suffit de demander à Home Depot, un grand détaillant pour lequel une infection par un malware de son système de point de vente a coûté plus de 179 millions de dollars. Le coût de l’atteinte à la sécurité continue d’augmenter, et ce chiffre ne tient pas compte de la perte d’activité résultant de l’infraction. En effet, suite à cette attaque de malwares POS en 2014, les consommateurs ont décidé d’acheter ailleurs que dans leur entourage.
Cette dernière menace devrait servir d’avertissement à tous les détaillants.
Les vulnérabilités en matière de sécurité peuvent être exploitées par les cybercriminels. Si des protections inadéquates ne sont pas mises en place pour protéger les données des consommateurs, ce ne sera qu’une question de temps avant que vos systèmes ne soient attaqués.