Il malware prix torna ancora una volta in tre nuove versioni. Il malware si è lentamente evoluto da un punto vendita incentrato sugli ATM a un punto vendita modulare (PoS) il malware. L'attore brasiliano dietro di esso ha effettuato “uno dei più grandi attacchi agli sportelli automatici del paese, infettare e fare jackpot più di 1,000 Macchine,” secondo un nuovo rapporto Secure List.
In aggiunta, almeno il malware è stato clonato con successo 28,000 carte di credito utilizzate negli stessi sportelli automatici prima dell'attacco. L'ultima versione di Prilex è in grado di generare EMV (Europay, MasterCard, e visto) crittogrammi in cui VISA ha introdotto 2019 come sistema di convalida delle transazioni contro le frodi di pagamento.
Prilex Evoluzione del malware
Il malware è stato sviluppato utilizzando il Visual Basic 6.0 lingua, ed è stato creato per dirottare specificamente le applicazioni bancarie per rubare informazioni sensibili dagli utenti di ATM. Il malware PoS è iniziato come un semplice raschietto di memoria e si è evoluto in un pezzo molto avanzato e complesso.
Le sue ultime versioni sono in grado di gestire il protocollo hardware del PIN pad piuttosto che utilizzare API di livello superiore, Kaspersky ha detto. Inoltre, il malware può eseguire patch in tempo reale nel software mirato, agganciare le librerie del sistema operativo, manomettere le risposte, comunicazioni e porti, e generare crittogrammi per le sue cosiddette transazioni GHOST.
Le ultime versioni di Prilex sono diverse dalle precedenti per il modo in cui avviene l'attacco: l'attore della minaccia è passato dagli attacchi di replica alle transazioni fraudolente utilizzando i crittogrammi generati dalla carta della vittima durante il processo di pagamento in negozio, denominate dagli autori del malware transazioni "GHOST"., il rapporto ha spiegato.
“In questi attacchi, gli esempi di Prilex sono stati installati nel sistema come eseguibili RAR SFX che hanno estratto tutti i file richiesti nella directory del malware ed eseguito gli script di installazione (File VBS),”I ricercatori hanno detto. Dai file installati, hanno evidenziato tre moduli utilizzati nella campagna: una porta sul retro, un modulo ladro, e un modulo di caricamento.
Come si verifica un attacco malware Prilex?
L'attacco si basa su un'ingegneria sociale ben congegnata e ricorda un falso supporto tecnico. In uno scenario, viene avviato da un'e-mail di spear phishing che impersona un tecnico di un fornitore PoS, esortando il destinatario ad aggiornare il proprio software PoS. Dopo questa interazione, i criminali informatici inviano un falso tecnico nell'edificio dell'organizzazione presa di mira per installare un aggiornamento sui terminali PoS. Naturalmente, l'aggiornamento è dannoso.
Un'altra versione dell'attacco reindirizza la vittima all'installazione dello strumento di accesso remoto AnyDesk. Una volta concesso questo accesso, il firmware PoS viene sostituito con una versione dannosa. L'ultima variante di Prilex supporta una backdoor, un ladro, e un caricatore, ognuno dei quali ha diverse attività da svolgere.
“Il gruppo Prilex ha dimostrato un elevato livello di conoscenza delle transazioni con carte di credito e di debito, e come funziona il software utilizzato per l'elaborazione dei pagamenti,” i ricercatori hanno detto. Il successo del gruppo ha motivato nuove famiglie ad emergere creando un forte impatto sulla catena dei pagamenti.