PRILEXATMマルウェアジャックポットマシンとクレジットカードの詳細を盗む

PRILEXは、トレンドマイクロの研究者によって発見および分析されたATMマルウェアの最新株の名前です。. このマルウェアの以前のバージョンは、今年10月にカスペルスキーによって発見されました. このマルウェアは、ブラジルの銀行への攻撃に使用されています. 攻撃は非常に標的にされました.

---

PRILEX ATMマルウェア–詳細

マルウェアは、VisualBasicを使用して開発されました 6.0 言語. 銀行のアプリケーションを乗っ取ってATMユーザーから機密情報を盗むために特別に作成されました.

トレンドマイクロの研究者は、この新しい株を分析して、10月の株と比較した場合に異なる形態の行動を示していることを発見しました。.

最新のPRILEXマルウェアは、特定のDLLをフックすることで機能します, そしてそれはそれらを他の上に独自のアプリケーション画面に置き換えました. マルウェアの標的となるDLLは次のとおりです:

• P32disp0.dll
• P32mmd.dll
• P32afd.dll

研究チームは実行しました DLLの詳細な分析 オンラインのどこにもそれらについての利用可能な情報がないことを見つけるためだけに.

このマルウェアで見つかった文字列はすべてポルトガル語であったことを考えると (カスペルスキーがブラジルで発見されたと報告して以来), 研究者たちは、この地域の銀行の連絡先に尋ねることにしました. 彼らはそれらのDLLがそこの銀行のATMアプリケーションに属していることを発見しました, それはただ一つのことを意味しました – 高度に標的化された攻撃. 「「これに加えて, マルウェアは特定のブランドのATMにのみ影響します, これは、攻撃者がそれらの1つを分析し、カスタマイズされた攻撃を作成した可能性があることを意味します,」研究者たちは彼らの報告書に記している.

PRILEXのマルウェアコードを分析している間, 研究者たちは、マルウェアがユーザーデータを盗んだ後に発生する別の興味深いことに遭遇しました. リモートコマンドアンドコントロールサーバーと通信して、クレジットカードデータとアカウントセキュリティコードをアップロードしようとします. トレンドマイクロは、これがインターネットに接続されていると想定したこれまでのところ最初のATMマルウェアであると考えています.

そうは言っても, 対象銀行のATMが接続されている可能性が非常に高い, 攻撃者はその方法とプロセスに精通しているように見えるので.

これらの仕様に加えて, マルウェアの攻撃手法は通常どおりです:

攻撃の方法, それ以外は, 簡単です. マシンが感染したら, マルウェアは銀行のアプリケーションと連携して動作するため、ユーザーにアカウントのセキュリティコードを要求する画面が表示されます。, 画面がマルウェアに置き換えられます. このコードは、ATMとオンライン取引を保護するためにブラジルで一般的に使用されている2要素認証方式です。. ユーザーがこのコードを入力すると, マルウェアはそれをキャプチャして保存します.

---

PRILEXATMマルウェアがクレジットカードの詳細を盗む

PRILEX攻撃は、マシンをジャックポットすることだけを目的としたものではないことにも注意してください。 だけでなく、ユーザー情報を盗むために クレジットカードデータなど. この詳細のため, 研究者は、これらの操作の背後にいる人は誰でもバルククレジットカードの詳細を扱っていると信じています, そしてそれらを効率的に収益化する方法があります. これが非常に標的を絞った攻撃であったことを考えると, このマルウェアは他の場所では使用されない可能性が高くなります.

PRILEX, でも, の良い例です, トレンドマイクロが指摘したように, 「「どの銀行も、その方法とプロセスを犯罪者が分析し、その後、標的を絞った攻撃で悪用される可能性があります。」. ジャックポッティング攻撃は、それ自体が非常に危険です。, しかし、このようなサイレント攻撃は非常に長い間検出されない可能性があります, つまり、各銀行は品質監視ツールと保護技術を実装する必要があります.