Herinnert u zich de Prilex PoS (verkooppunt) malware? Prilex is een van de nieuwste stammen van ATM malware stukken die is gebruikt in zeer gerichte aanvallen op de Braziliaanse banken.
De malware is ontwikkeld met behulp van de Visual Basic 6.0 taal. Het is gemaakt om specifiek te kapen bankapplicaties om gevoelige informatie van ATM gebruikers stelen.
Een aanval van malware december geanalyseerd, 2017, toonde een andere vorm van gedrag in vergelijking met een eerdere soort uit oktober. Blijkbaar, de Prilex malware is inmiddels weer geëvolueerd, en is uitgegroeid tot een all-inclusive tool suite die cybercriminelen in staat stelt om chip en PIN card gegevens te stelen om hun eigen werk te creëren, frauduleuze plastic kaarten.
PoS Malware als nooit tevoren: Wat is er nieuw in Prilex?
Volgens Kaspersky Lab onderzoekers, dit is de eerste keer dat ze hebben zo'n uitgebreide malware gezien dat verricht fraude. Het is erg lastig dat de nep-kaarten kan werken op elke Braziliaanse kassasysteem. Dit is mogelijk te wijten aan een gebrekkige uitvoering van de EMV-standaard, die in de weg van betaling operators om alle benodigde gegevens te valideren voordat de goedkeuring van een transactie.
De cybercriminelen worden dan nodig om een kwaadaardig Java-gebaseerde applicatie “de vorm van een gewijzigde GLB-bestand te installeren, aan de gekloonde kaarten’ chips, die dwingt POS-oplossingen voor het automatisch accepteren de PIN-validatie en omzeilen eventuele andere validatieprocessen”, zoals door Kaspersky.
Dit gedrag is helemaal nieuw voor malware onderzoekers. De verbeterde Prilex malware is het aanbieden van aanvallers “alles van een grafische gebruikersinterface om goed ontworpen modules die kunnen worden gebruikt om verschillende credit card structuren te creëren".
Hoe worden de aanvallers infecteren hun doelstellingen? Meestal is de infectie gebeurt met de hulp van nep-remote support sessies. Hoewel deze sessies gebeuren, aanvallers doen alsof ze IT-specialisten helpen met een probleem het doel is het ervaren, terwijl ze in feite zijn het installeren van de Prilex malware. De malware zelf heeft drie componenten: het stuk ontworpen om het POS-systeem te wijzigen om credit card informatie te onderscheppen; de server die de gestolen informatie opslaat; de gebruiker applicatie met de interface ingezet door de aanvallers aan te vallen statistieken bekijken.
Bovendien, de nieuwste versie van Prilex heeft een nieuwe functionaliteit waarmee aanvallers bibliotheken een besmette PoS-systeem overschrijven. Hierdoor kan de malware te verzamelen en exfiltrate betaalkaarten TRACK2 magneetstrip data. Gestolen gegevens is later te koop aangeboden op de zwarte markt naast een instrument bekend als Daphne dat de gegevens en klonen debet- en kredietkaarten beheert.
De Daphne “cliënt” heeft de mogelijkheid om te kiezen welk type kaart het wil om te schrijven, creditcard of; dan is de informatie zal worden gevalideerd op de server alleen te worden geschreven naar de kaart nadat alle noodzakelijke tests worden doorgegeven. De nieuwe kaart, die is aangesloten op de smart card writer, zal de nieuwe informatie ontvangen via GPShell scripts die belast zijn met het opzetten van de structuur van de kaart en het creëren van de “gouden kaart”.
Na het gebruik van de kaart, de misdadiger is in staat om bij te houden hoeveel geld is het mogelijk om in te trekken houden. Hoewel we niet zeker hoe deze informatie wordt gebruikt, Prilex's business model moedigt gebruikers aan om te registreren welke kaarten wel geldig zijn en het bedrag dat ze hebben vruchten afgeworpen. Dit zou toelaten het doorverkopen van de kaarten in andere locaties en het opladen van differentiële prijzen afhankelijk van hun status.
Gelukkig, bands in Brazilië hebben veel tijd besteed aan het onderzoek naar deze aanvallen en hebben geprobeerd om hun systemen te verbeteren om frauduleuze transacties te voorkomen. Echter, zoals opgemerkt door Kaspersky onderzoekers, andere landen in Zuid-Amerika zijn niet zo toegewijd aan credit card technologieën en nog steeds rekenen op magneetstrip kaarten.
Andere landen zijn ook nieuw voor de actieve uitvoering van chip-en-pin authenticatie maatregelen en zijn uitgegroeid tot een gewenst doelwit voor criminelen te wijten aan het algemeen gebrek aan deskundigheid op het gebied van deze technologie.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: