Group-IBは10月24日(米国時間)、「Treasure trove. Alive and well point-of-sale malware」においてPOS(Point Of Sales)システムを標的とする2つのマルウェアの調査結果を伝えた。「MajikPOS」および「Treasure Hunter」と呼ばれているPOSマルウェアの亜種がサイバー攻撃者に使われ、決済端末から16万7000件を超えるクレジットカードに関連する情報が窃取されたことがわかった。

  • Treasure trove. Alive and well point-of-sale malware

    Treasure trove. Alive and well point-of-sale malware

POSマルウェアは、クレジットカードまたは銀行カードの裏面の磁気ストライプに記録された決済情報を盗む目的でPOS端末に感染するよう設計された悪意のあるソフトウェアの一種。近年はほとんどの国の最新のクレジットカード処理システムに組み込まれた保護メカニズムにより、POSマルウェアはあまり見られなくなくなってきている。しかしながら、磁気ストライプを使用したクレジットカードが主な決済処理メカニズムとして利用されている地域の個人や企業にとっては、依然として深刻な脅威となっている。

  • Distribution of payment records compromised by MajikPOS between Feb. 2002 and Sep. 2022 by card issuing country|Group-IB

    Distribution of payment records compromised by MajikPOS between Feb. 2002 and Sep. 2022 by card issuing country|Group-IB

  • Distribution of payment records compromised by Treasure Hunter between Feb. 2002 and Sep. 2022 by card issuing country|Group-IB

    Distribution of payment records compromised by Treasure Hunter between Feb. 2002 and Sep. 2022 by card issuing country|Group-IB

MajikPOSのコマンド&コントロール(C2: Command and Control)サーバが特定されており、認証情報を抽出する能力があることがわかった。さらにこのサーバにはTreasure Hunterのコマンド&コントロール管理パネルもホストされていることが判明しており、漏洩したクレジットカードデータを収集するために使われていることが確認されている。

Group-IBの調査によると、2022年9月8日時点で主に米国から16万7000件以上のクレジットカードの支払い記録が窃取されていることが明らかとなった。また、侵害されたカード情報がアンダーグラウンドフォーラムで販売された場合、この脅威アクターは334万ドルもの利益を得ることができると試算されている。