Den Prilex malware er tilbage igen i tre nye versioner. Malwaren har langsomt udviklet sig fra ATM-fokuseret til modulært salgssted (PoS) malware. Den brasilianske trusselsaktør bag har udført "et af de største angreb på pengeautomater i landet, inficere og jackpotting mere end 1,000 maskiner,” ifølge en ny Secure List-rapport.
Desuden, malwaren klonet i det mindste 28,000 kreditkort brugt i de samme pengeautomater før angrebet. Den seneste version af Prilex er i stand til at generere EMV (Europay, MasterCard, og Visa) kryptogrammer, som VISA introducerede i 2019 som et transaktionsvalideringssystem mod betalingssvindel.
Prilex Malware Evolution
Den malware er blevet udviklet ved hjælp af Visual Basic 6.0 sprog, og er blevet skabt til specifikt at kapre bankapplikationer for at stjæle følsomme oplysninger fra ATM-brugere. PoS-malwaren startede som en simpel hukommelsesskraber og udviklede sig til et meget avanceret og komplekst stykke.
Dens seneste versioner er i stand til at håndtere PIN-pad-hardwareprotokol i stedet for at bruge API'er på højere niveau, Kaspersky sagde. Endvidere, malwaren kan udføre real-time patching i målrettet software, hook OS-biblioteker, manipulere med svar, kommunikation og havne, og generere kryptogrammer til sine såkaldte GHOST-transaktioner.
De seneste versioner af Prilex adskiller sig fra tidligere i den måde, angrebet finder sted på: trusselsaktøren har skiftet fra replay-angrebene til svigagtige transaktioner ved hjælp af kryptogrammer genereret af offerkortet under betalingsprocessen i butikken, omtalt af malware-forfatterne som "GHOST"-transaktioner, rapporten forklarede.
"I disse angreb, Prilex-eksemplerne blev installeret i systemet som RAR SFX-eksekverbare filer, der udpakkede alle nødvendige filer til malware-biblioteket og udførte installationsscripts (VBS filer),”Siger forskerne. Fra de installerede filer, de fremhævede tre moduler, der blev brugt i kampagnen: en bagdør, et tyverimodul, og et uploader-modul.
Hvordan opstår et Prilex Malware-angreb?
Angrebet er baseret på gennemtænkt social engineering og minder om falsk teknisk support. I ét scenarie, det er initieret af en spear phishing-e-mail, der efterligner en tekniker fra en PoS-leverandør, opfordrer modtageren til at opdatere deres PoS-software. Efter denne interaktion, cyberkriminelle sender en falsk tekniker til den målrettede organisations bygning for at installere en opdatering til PoS-terminalerne. Selvfølgelig, opdateringen er skadelig.
En anden version af angrebet omdirigerer offeret til at installere AnyDesk-fjernadgangsværktøjet. Når denne adgang er givet, PoS-firmwaren er erstattet med en ondsindet version. Den seneste Prilex-variant understøtter en bagdør, en stjæler, og en uploader, som hver især har flere aktiviteter at udføre.
“Prilex-gruppen har udvist et højt kendskab til kredit- og betalingskorttransaktioner, og hvordan software, der bruges til betalingsbehandling, fungerer,” forskerne sagde. Gruppens succes har motiveret nye familier til at dukke op og skabe en stor indflydelse på betalingskæden.