PRILEX ist der Name des neuesten Stammes von ATM-Malware, die von Trend Micro Forscher entdeckt und analysiert wurde. Eine frühere Version dieser Malware wurde in diesem Jahr von Kaspersky im Oktober entdeckt. Die Malware wurde in Angriffe auf brasilianischen Banken. Die Angriffe wurden sehr gezielt.
PRILEX ATM Malware - Details
Die Malware wurde mit dem Visual Basic entwickelt 6.0 Sprache. Es wurde von ATM-Benutzer speziell sensible Informationen geschaffen, um zu stehlen Banking-Anwendungen kapern.
Trend Micro Forscher analysierten diesen neuen Stamm zu entdecken, dass es eine andere Form des Verhaltens zeigt, wenn sie den Stamm Oktober im Vergleich.
Das neueste PRILEX Malware funktioniert durch bestimmte DLLs Einhaken, und es ersetzte sie durch seine eigene Anwendung Bildschirme auf der anderen. Die DLLs von der Malware gezielt sind die folgenden:
- P32disp0.dll
- P32mmd.dll
- P32afd.dll
Das Forschungsteam durchgeführt eine detaillierte Analyse der DLLs nur um festzustellen, dass es über sie überall online nicht verfügbar Informationen.
Da die Saiten in diesen Malware waren alle in Portugiesisch gefunden (und da Kaspersky berichtet, dass es in Brasilien gefunden wurde), die Forscher beschlossen, ihre Bank Kontakte in der Region fragen. Sie fanden heraus, dass diese DLLs gehören zu der ATM-Anwendung einer Bank dort, was bedeutete, nur eine Sache, – ein sehr gezielter Angriff. "Am Anfang dieses, die Malware wirkt sich nur auf eine bestimmte Marke von ATM, was bedeutet, die Angreifer hatten möglicherweise einer von ihnen analysiert und erstellt ein individuelles Angriff,”, Stellten die Forscher in ihrem Bericht fest.
Während die Analyse der Malware-Code von PRILEX, Die Forscher stießen auf etwas anderes interessant, die nach der Malware nimmt hat Nutzerdaten gestohlen. Es wird versucht, mit einem Remote-Befehl und Kontrollserver zu kommunizieren, um Kreditkartendaten und Kontosicherheitscode zu laden. Trend Micro glaubt, dass dies den ersten ATM-Malware bisher annehmen, dass es mit dem Internet verbunden ist.
Davon abgesehen,, es ist sehr wahrscheinlich, dass die Geldautomaten der Bank gezielt verbunden sind, da scheinen die Angreifer sehr vertraut zu sein mit seinen Methoden und Verfahren.
Neben diesen Spezifikationen, die Angriffstechniken der Malware sind wie üblich:
Die Methode des Angriffs, Andernfalls, ist geradeaus. Sobald die Maschine infiziert wurde, die Malware arbeitet gemeinsam mit der Banking-Anwendung, so dass, wenn es zeigt den Bildschirm, um den Benutzer für ihr Konto Sicherheitscode gefragt, der Bildschirm wird durch die Malware ersetzt. Dieser Code ist eine Zwei-Faktor-Authentifizierungsmethode häufig in Brasilien verwendet ATM und Online-Transaktionen zu schützen. Einmal gibt der Benutzer diesen Code, die Malware fängt es und speichert sie.
PRILEX ATM Malware Stiehlt Kreditkartendetails
Es ist auch erwähnenswert, dass PRILEX Angriffe nicht nur darauf abzielen, die Maschine Jackpot sondern auch Benutzerinformationen zu stehlen wie Kreditkartendaten. Aufgrund dieses Detail, Die Forscher glauben, dass wer auch immer hinter diesen Operationen ist mit Masse Kreditkartendaten zu tun haben, und hat einen Weg, um sie effizienter zu monetarisieren. Bedenkt man, dass dies ein sehr gezielter Angriff gewesen, es ist wahrscheinlicher, dass diese Malware nirgendwo anders verwendet werden.
PRILEX, jedoch, Beispiel ist ein groß, dass, wie durch Trend Micro wies darauf hin,, "jede Bank unterliegt ihre Methoden und Prozesse von Kriminellen analysieren lassen und dann mit sehr gezielten Angriffen später missbraucht". Jackpotting-Angriffe sind sehr gefährlich in ihren eigenen Weg, aber ein stiller Angriff wie diese kann für eine sehr lange Zeit unentdeckt, was bedeutet, dass jede Bank sollte Qualität Monitoring-Tools und Bewachung Techniken implementieren.