Die Prilex-Malware ist wieder zurück in drei neuen Versionen. Die Malware hat sich langsam von Geldautomaten zu modularen Point-of-Sale entwickelt (PoS) Malware. Der dahinter stehende brasilianische Bedrohungsakteur habe „einen der größten Angriffe auf Geldautomaten im Land durchgeführt, Infizieren und Jackpotting mehr als 1,000 Maschinen,“ laut einem neuen Secure List-Bericht.
Außerdem, die Malware zumindest erfolgreich geklont 28,000 Kreditkarten, die vor dem Angriff in denselben Geldautomaten verwendet wurden. Die neueste Version von Prilex ist in der Lage, EMV zu erzeugen (Europay, Mastercard, und Visum) Kryptogramme, die VISA eingeführt hat 2019 als Transaktionsvalidierungssystem gegen Zahlungsbetrug.
Prilex-Malware-Entwicklung
Die Malware wurde mit dem Visual Basic entwickelt 6.0 Sprache, und wurde entwickelt, um speziell Bankanwendungen zu kapern, um vertrauliche Informationen von Geldautomatenbenutzern zu stehlen. Die PoS-Malware begann als einfacher Speicherkratzer und entwickelte sich zu einem sehr fortschrittlichen und komplexen Teil.
Die neuesten Versionen sind in der Lage, das PIN-Pad-Hardwareprotokoll zu verarbeiten, anstatt APIs auf höherer Ebene zu verwenden, Kaspersky sagte. Weiter, Die Malware kann Echtzeit-Patching in Zielsoftware durchführen, Hook OS-Bibliotheken, Antworten manipulieren, Kommunikation und Häfen, und Kryptogramme für seine sogenannten GHOST-Transaktionen generieren.
Die neuesten Versionen von Prilex unterscheiden sich von früheren Versionen in der Art und Weise, wie der Angriff stattfindet: Der Bedrohungsakteur ist von den Replay-Angriffen auf betrügerische Transaktionen umgestiegen, bei denen Kryptogramme verwendet werden, die von der Opferkarte während des Zahlungsvorgangs im Geschäft generiert werden, von den Malware-Autoren als „GHOST“-Transaktionen bezeichnet, der Bericht erklärt.
„Bei diesen Angriffen, Die Prilex-Beispiele wurden im System als ausführbare RAR-SFX-Dateien installiert, die alle erforderlichen Dateien in das Malware-Verzeichnis extrahierten und die Installationsskripts ausführten (VBS-Dateien),“Sagten die Forscher. Aus den installierten Dateien, Sie hoben drei Module hervor, die in der Kampagne verwendet wurden: eine Hintertür, ein Stealer-Modul, und ein Uploader-Modul.
Wie läuft ein Prilex-Malware-Angriff ab??
Der Angriff basiert auf gut durchdachtem Social Engineering und erinnert an gefälschten technischen Support. In einem Szenario, Es wird durch eine Spear-Phishing-E-Mail initiiert, die sich als Techniker eines PoS-Anbieters ausgibt, Aufforderung an den Empfänger, seine PoS-Software zu aktualisieren. Nach dieser Interaktion, Die Cyberkriminellen schicken einen gefälschten Techniker zum Gebäude der Zielorganisation, um ein Update für die PoS-Terminals zu installieren. Natürlich, Das Update ist bösartig.
Eine andere Version des Angriffs leitet das Opfer um, um das Fernzugriffstool AnyDesk zu installieren. Sobald dieser Zugriff gewährt wird, Die PoS-Firmware wird durch eine bösartige Version ersetzt. Die neueste Prilex-Variante unterstützt eine Hintertür, ein Dieb, und ein Uploader, von denen jede mehrere Aktivitäten auszuführen hat.
“Die Prilex-Gruppe hat ein hohes Maß an Wissen über Kredit- und Debitkartentransaktionen gezeigt, und wie Software zur Zahlungsabwicklung funktioniert,” sagten die Forscher. Der Erfolg der Gruppe hat neue Familien dazu motiviert, sich zu etablieren und einen großen Einfluss auf die Zahlungskette zu haben.