Het Prilex-malware is weer terug in drie nieuwe versies. De malware evolueert langzaam van ATM-gericht naar modulaire point-of-sale (PoS) malware. De Braziliaanse dreigingsactor erachter heeft “een van de grootste aanvallen op geldautomaten in het land” uitgevoerd, infecteren en jackpotting meer dan 1,000 machines,” volgens een nieuw Secure List-rapport.
Bovendien, de malware is tenminste succesvol gekloond 28,000 creditcards die vóór de aanval in dezelfde geldautomaten werden gebruikt. De nieuwste versie van Prilex is in staat om EMV . te genereren (Europay, MasterCard, en visum) cryptogrammen die VISA introduceerde in 2019 als transactievalidatiesysteem tegen betalingsfraude.
Prilex Malware-evolutie
De malware is ontwikkeld met behulp van de Visual Basic 6.0 taal, en is gemaakt om specifiek bankapplicaties te kapen om gevoelige informatie van ATM-gebruikers te stelen. De PoS-malware begon als een eenvoudige geheugenschraper en evolueerde naar een zeer geavanceerd en complex stuk.
De nieuwste versies kunnen het hardwareprotocol van het PIN-pad verwerken in plaats van API's van een hoger niveau te gebruiken, Kaspersky zei. Bovendien, de malware kan realtime patching uitvoeren in gerichte software, hook OS-bibliotheken, knoeien met antwoorden, communicatie en poorten, en cryptogrammen genereren voor de zogenaamde GHOST-transacties.
De nieuwste versies van Prilex verschillen van eerdere versies in de manier waarop de aanval plaatsvindt: de dreigingsactor is overgestapt van de replay-aanvallen naar frauduleuze transacties met behulp van cryptogrammen die door de slachtofferkaart zijn gegenereerd tijdens het betalingsproces in de winkel, door de malware-auteurs aangeduid als "GHOST"-transacties, het verslag toegelicht.
"Bij deze aanvallen", de Prilex-samples zijn in het systeem geïnstalleerd als RAR SFX-uitvoerbare bestanden die alle vereiste bestanden naar de malwaremap hebben uitgepakt en de installatiescripts hebben uitgevoerd (VBS-bestanden),”Aldus de onderzoekers. Van de geïnstalleerde bestanden, ze benadrukten drie modules die in de campagne werden gebruikt: een achterdeur, een stealer-module, en een uploadermodule.
Hoe vindt een Prilex Malware-aanval plaats??
De aanval is gebaseerd op goed doordachte social engineering en doet denken aan nep-tech support. In één scenario, het wordt geïnitieerd door een spear phishing-e-mail die zich voordoet als een technicus van een PoS-leverancier, de ontvanger aansporen om hun PoS-software bij te werken. Na deze interactie, de cybercriminelen sturen een nep-technicus naar het gebouw van de aangevallen organisatie om een update op de PoS-terminals te installeren. Natuurlijk, de update is kwaadaardig.
Een andere versie van de aanval leidt het slachtoffer om om de AnyDesk-tool voor externe toegang te installeren. Zodra deze toegang is verleend, de PoS-firmware is vervangen door een kwaadaardige versie. De nieuwste Prilex-variant ondersteunt een achterdeur, een dief, en een uploader, die elk verschillende activiteiten hebben om uit te voeren.
“De Prilex-groep heeft blijk gegeven van een hoog kennisniveau over creditcard- en debetkaarttransacties, en hoe software die wordt gebruikt voor betalingsverwerking werkt,” aldus de onderzoekers. Het succes van de groep heeft ertoe geleid dat er nieuwe gezinnen zijn ontstaan die een grote impact hebben op de betalingsketen.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: