PRILEX is de naam van de laatste stam van ATM malware die werd ontdekt en geanalyseerd door Trend Micro onderzoekers. Een eerdere versie van deze malware werd gespot door Kaspersky in oktober van dit jaar. De malware is gebruikt in aanvallen op de Braziliaanse banken. De aanvallen werden zeer gerichte.
PRILEX ATM Malware - Details
De malware is ontwikkeld met behulp van de Visual Basic 6.0 taal. Het is gemaakt om specifiek te kapen bankapplicaties om gevoelige informatie van ATM gebruikers stelen.
Trend Micro onderzoekers analyseerden deze nieuwe stam te ontdekken dat het een andere vorm van gedrag vertoont in vergelijking met de oktober stam.
De nieuwste PRILEX malware werkt door het inhaken specifieke DLL's, en verving ze door een eigen applicatie-schermen op de top van anderen. De DLL's het doelwit van de malware zijn de volgende:
- P32disp0.dll
- P32mmd.dll
- P32afd.dll
Het onderzoeksteam uitgevoerd een gedetailleerde analyse van de DLL's alleen te vinden dat er geen beschikbare informatie over hen overal online.
Gezien het feit dat de snaren in deze malware waren allemaal in het Portugees (en aangezien Kaspersky gemeld dat het werd gevonden in Brazilië), de onderzoekers besloten om hun bankzaken contacten in de regio vragen. Zij vonden dat die DLL's behoren tot de ATM toepassing van een bank er, die slechts één ding betekende – een zeer gerichte aanval. "Op de top van deze, de malware alleen van invloed op een specifiek merk van ATM, waardoor de aanvallers waren geanalyseerd eventueel één van hen en creëerde een aangepaste aanval,”Noteerden de onderzoekers in hun rapport.
Terwijl de analyse van de malware code van PRILEX, de onderzoekers kwam over iets anders interessant dat plaatsvindt nadat de malware heeft gestolen gebruikersgegevens. Het probeert te communiceren met een remote command and control-server om credit card gegevens en beveiliging van uw account code te uploaden. Trend Micro is van mening dat dit de eerste ATM malware zo ver om te veronderstellen deze is aangesloten op het internet.
Dat gezegd zijnde, Het is zeer waarschijnlijk dat geldautomaten de gerichte bank zijn aangesloten, omdat de aanvallers lijken goed bekend met haar methoden en processen te zijn.
Naast deze specificaties, de malware aanval technieken zoals gebruikelijk:
De manier van aanvallen, anders-, is eenvoudig. Zodra de machine is geïnfecteerd, de malware werkt samen met de bankapplicatie zodat wanneer verschijnt het scherm waarin de gebruiker voor hun rekening beveiligingscode, het scherm wordt vervangen door malware. Deze code is een twee-factor authenticatie methode vaak gebruikt in Brazilië om ATM en online transacties te beschermen. Zodra de gebruiker deze code intoetst, de malware vangt het en slaat deze op.
PRILEX ATM Malware Steals Creditcardgegevens
Het is ook vermeldenswaard dat PRILEX aanvallen niet alleen bedoeld om de machine jackpot maar ook om de gebruiker informatie te stelen zoals credit card gegevens. Hierdoor detail, de onderzoekers zijn van mening dat wie achter deze handelingen is het omgaan met bulk credit card gegevens, en heeft een manier om ze efficiënt te gelde te maken. Gezien het feit dat dit een zeer gerichte aanval is geweest, het is meer waarschijnlijk voor deze malware naar nergens anders worden gebruikt.
PRILEX, echter, is een goed voorbeeld dat, zoals opgemerkt door Trend Micro, "elke bank onder hun methoden en processen criminelen geanalyseerd en later misbruikt met zeer gerichte aanvallen". Jackpotting aanvallen zijn zeer gevaarlijk op hun eigen manier, maar een stille aanval als dit kan onopgemerkt blijven voor een zeer lange tijd, wat betekent dat elke bank kwaliteit monitoring tools en bewaken technieken moeten toepassen.