The Prilex マルウェア 3つの新しいバージョンで再び戻ってきました. このマルウェアは、ATM に重点を置いたものからモジュール式の POS に向けてゆっくりと進化しています。 (PoS) マルウェア. その背後にいるブラジルの脅威アクターは、「国内の ATM に対する最大の攻撃の 1 つ」を実行しました。, 以上の感染とジャックポット 1,000 機械,」 新しい Secure List レポートによると.
加えて, マルウェアは少なくともクローンに成功しました 28,000 攻撃前に同じ ATM で使用されていたクレジット カード. 最新バージョンの プリレックス EMVを生成することができます (ユーロペイ, MasterCard, とビザ) VISAが導入した暗号 2019 支払い詐欺に対するトランザクション検証システムとして.
プリレックス マルウェアの進化
マルウェアは、VisualBasicを使用して開発されました 6.0 言語, 特に銀行アプリケーションをハイジャックして、ATM ユーザーから機密情報を盗むために作成されました。. PoS マルウェアは単純なメモリ スクレーパーとして始まり、非常に高度で複雑な部分に進化しました.
その最新バージョンは、より高いレベルの API を使用するのではなく、PIN パッド ハードウェア プロトコルを処理できます。, カスペルスキーは言った. さらに, マルウェアは、標的のソフトウェアにリアルタイムでパッチを適用できます, フック OS ライブラリ, 返信を改ざんする, 通信とポート, いわゆるGHOSTトランザクション用の暗号文を生成します.
Pilex の最新バージョンは、以前のバージョンとは攻撃方法が異なります。: 攻撃者は、リプレイ攻撃から、店舗での支払いプロセス中に被害者のカードによって生成された暗号を使用した不正なトランザクションに切り替えました, マルウェア作成者は「GHOST」トランザクションと呼んでいます, レポート 説明.
「これらの攻撃では, Pilex のサンプルは、必要なすべてのファイルをマルウェア ディレクトリに抽出し、インストール スクリプトを実行する RAR SFX 実行可能ファイルとしてシステムにインストールされました。 (VBS ファイル),」研究者は言った. インストールされたファイルから, 彼らは、キャンペーンで使用された 3 つのモジュールを強調しました: バックドア, スティーラーモジュール, アップローダーモジュール.
Pilex マルウェア攻撃はどのように発生しますか?
この攻撃はよく考えられたソーシャル エンジニアリングに基づいており、偽のテクニカル サポートを連想させます。. あるシナリオでは, これは、PoS ベンダーの技術者になりすましたスピア フィッシング メールによって開始されます。, 受信者に PoS ソフトウェアの更新を促す. このやりとりの後, サイバー犯罪者は偽の技術者を標的の組織の建物に送り込み、PoS 端末にアップデートをインストールします。. もちろん, アップデートは悪質です.
攻撃の別のバージョンでは、AnyDesk リモート アクセス ツールをインストールするように被害者をリダイレクトします。. このアクセス権が付与されると, PoS ファームウェアが悪意のあるバージョンに置き換えられる. 最新の Prilex 亜種はバックドアをサポートしています, スティーラー, そしてアップローダー, それぞれに実行するいくつかのアクティビティがあります.
“プリレックス グループは、クレジット カードおよびデビット カードの取引に関する高いレベルの知識を示しています。, 支払い処理に使用されるソフトウェアの仕組み,” 研究者は言った. グループの成功は、支払いチェーンに大きな影響を与える新しいファミリーの出現を促しました.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: