PRILEX es el nombre de la última cepa de ATM software malicioso que fue descubierto y analizado por los investigadores de Trend Micro. Una versión anterior de este malware fue descubierto por Kaspersky en octubre de este año. El malware se ha utilizado en los ataques contra los bancos brasileños. Los ataques fueron muy específicas.
PRILEX ATM Malware - detalles
El malware ha sido desarrollado utilizando Visual Basic 6.0 idioma. Se ha creado específicamente para secuestrar aplicaciones bancarias para robar información sensible de los usuarios de cajeros automáticos.
investigadores de Trend Micro analizaron esta nueva cepa de descubrir que está mostrando una forma diferente de comportamiento en comparación con la cepa octubre.
El malware más reciente PRILEX funciona enganchando DLL específicos, y los reemplazó con sus propias pantallas de la aplicación en la parte superior de los demás. Las DLL dirigidos por el programa malicioso son los siguientes:
- P32disp0.dll
- P32mmd.dll
- P32afd.dll
El equipo de investigación realizó un análisis detallado sobre los DLL sólo para encontrar que no hay información disponible acerca de ellos en cualquier lugar en línea.
Teniendo en cuenta que las cadenas se encuentran en este malware estaban todos en portugués (y desde Kaspersky informó que se encontró en Brasil), los investigadores decidieron pedir a sus contactos bancarios en la región. Encontraron que aquellos DLL pertenecen a la aplicación de ATM de un banco allí, lo que significaba una sola cosa – un ataque muy específica. "En la parte superior de esta, el malware sólo afecta a una marca específica de ATM, lo que significa que los atacantes habían analizado posiblemente uno de ellos y ha creado un ataque personalizado,”Señalaron los investigadores en su informe.
Al analizar el código de malware de PRILEX, los investigadores se encontraron con algo más interesante que tiene lugar después de que el malware se ha robado datos de usuario. Se trata de comunicarse con un servidor de comando y control remoto para cargar los datos de tarjetas de crédito y código de seguridad de la cuenta. Trend Micro cree que este es el primer software malicioso ATM en lo que va a suponer que está conectado a internet.
Dicho esto, es muy probable que los cajeros automáticos del banco dirigidos están conectados, ya que los atacantes parecen ser bastante familiarizado con sus métodos y procesos.
Además de estas especificaciones, técnicas de ataque de malware son como de costumbre:
El método de ataque, de otra manera, es sencillo. Una vez que la máquina ha sido infectada, el malware opera conjuntamente con la aplicación de banca para que cuando se muestra la pantalla preguntando al usuario para su cuenta código de seguridad, la pantalla se sustituye por el software malicioso. Este código es un método de autenticación de dos factores comúnmente utilizado en Brasil para proteger ATM y las transacciones en línea. Una vez que el usuario introduce el código, el malware lo captura y lo almacena.
PRILEX ATM Malware Roba sus tarjetas de crédito
También vale la pena señalar que los ataques PRILEX no sólo tienen como objetivo del premio mayor de la máquina sino también para robar información de los usuarios tales como datos de tarjetas de crédito. Debido a este detalle, los investigadores creen que quien está detrás de estas operaciones se ocupa de los detalles de tarjetas de crédito a granel, y tiene una forma de rentabilizar de manera eficiente. Teniendo en cuenta que este ha sido un ataque muy específica, es más probable para este malware no se usa en ninguna otra.
PRILEX, sin embargo, es un gran ejemplo de que, como se ha señalado por Trend Micro, "cualquier banco está sujeto a tener sus métodos y procesos analizados por los delincuentes y luego más tarde abusados con ataques altamente orientados". Jackpotting ataques son muy peligrosos en su propio camino, pero un ataque silencioso como este puede pasar desapercibida durante mucho tiempo, lo que significa que cada banco debe implementar herramientas de supervisión de la calidad y las técnicas que guardan.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: