PRILEX est le nom de la dernière souche de malware ATM qui a été découvert et analysé par des chercheurs de Trend Micro. Une version précédente de ce logiciel malveillant a été repéré par Kaspersky en Octobre de cette année. Le logiciel malveillant a été utilisé dans les attaques contre les banques brésiliennes. Les attaques ont été très ciblées.
PRILEX ATM Malware - Détails
Le logiciel malveillant a été développé en utilisant Visual Basic 6.0 langue. Il a été créé pour pirater spécifiquement les applications bancaires pour voler des informations sensibles des utilisateurs ATM.
les chercheurs de Trend Micro ont analysé cette nouvelle souche de découvrir qu'elle montre une forme de comportement différent par rapport à la souche Octobre.
Le dernier malware PRILEX fonctionne en accrochant DLLs spécifiques, et il les a remplacés par ses propres écrans d'application au-dessus des autres. Les DLL visés par les logiciels malveillants sont les suivants:
- P32disp0.dll
- P32mmd.dll
- P32afd.dll
L'équipe de recherche effectuée une analyse détaillée sur les DLLs pour constater qu'il n'y a pas d'information disponible sur eux partout en ligne.
Étant donné que les chaînes trouvées dans ce logiciel malveillant étaient tous en portugais (et depuis Kaspersky a indiqué qu'il a été trouvé au Brésil), les chercheurs ont décidé de demander à leurs contacts bancaires dans la région. Ils ont constaté que ces DLL appartiennent à l'application ATM d'une banque, il, ce qui signifie qu'une seule chose – une attaque très ciblée. "En plus de cela, le logiciel malveillant affecte uniquement une marque spécifique de l'ATM, ce qui signifie que les attaquants avaient peut-être analysé un d'entre eux et a créé une attaque sur mesure,”Les chercheurs ont noté dans leur rapport.
En analysant le code malveillant de PRILEX, les chercheurs ont rencontré quelque chose d'intéressant qui a lieu après le logiciel malveillant a volé des données utilisateur. Il essaie de communiquer avec un serveur de commande et de contrôle à distance pour télécharger des données de carte de crédit et le code de sécurité de votre compte. Trend Micro estime que c'est le premier malware ATM jusqu'à présent à considérer qu'il est connecté à Internet.
Cela étant dit, il est très probable que les guichets automatiques de la banque ciblée sont connectés, étant donné que les attaquants semblent être assez familier avec ses méthodes et processus.
Outre ces spécifications, Les techniques d'attaque du Malware sont comme d'habitude:
Procédé d'attaque, autrement, est simple. Une fois que la machine a été infectée, le logiciel malveillant fonctionne conjointement avec l'application bancaire de sorte que quand il affiche l'écran demandant à l'utilisateur pour leur compte code de sécurité, l'écran est remplacé par le logiciel malveillant. Ce code est une méthode d'authentification à deux facteurs couramment utilisé au Brésil pour protéger les transactions ATM et en ligne. Une fois que l'utilisateur entre le code, le logiciel malveillant capture et stocke.
PRILEX ATM Malware Vole Carte de crédit Détails
Il est également intéressant de noter que les attaques PRILEX visent non seulement à jackpot de la machine mais aussi pour voler des informations utilisateur telles que les données de carte de crédit. En raison de ce détail, les chercheurs croient que celui qui est derrière ces opérations traite avec les détails de carte de crédit en vrac, et a une façon de les monétiser efficacement. Considérant que cela a été une attaque très ciblée, il est plus probable de ce malware pour ne pas être utilisé nulle part ailleurs.
PRILEX, cependant, est un excellent exemple que, comme l'a souligné Trend Micro, "une banque est soumise à leurs méthodes et processus analysés par des criminels, puis plus tard avec des attaques abusés très ciblées". attaques jackpotting sont très dangereux à leur manière, mais une attaque silencieuse comme cela peut passer inaperçue pendant très longtemps, ce qui signifie que chaque banque doit mettre en place des outils de contrôle de la qualité et des techniques de gardiennage.