o Malware Prilex está de volta mais uma vez em três novas versões. O malware tem evoluído lentamente de um foco em ATM para um ponto de venda modular (PoS) malwares. O ator de ameaças brasileiro por trás disso realizou “um dos maiores ataques a caixas eletrônicos do país, infectar e ganhar mais de 1,000 máquinas,” de acordo com um novo relatório da Lista Segura.
além do que, além do mais, o malware clonou com sucesso pelo menos 28,000 cartões de crédito usados nos mesmos caixas eletrônicos antes do ataque. A última versão de Prilex é capaz de gerar EMV (Europa, MasterCard, e Visto) criptogramas que a VISA introduziu em 2019 como um sistema de validação de transações contra fraudes de pagamento.
Evolução de malware Prilex
O malware foi desenvolvido usando o Visual Basic 6.0 língua, e foi criado especificamente para sequestrar aplicativos bancários para roubar informações confidenciais de usuários de caixas eletrônicos. O malware PoS começou como um simples raspador de memória e evoluiu para uma peça muito avançada e complexa.
Suas versões mais recentes são capazes de lidar com o protocolo de hardware PIN pad em vez de usar APIs de nível superior, Kaspersky disse. além disso, o malware pode executar patches em tempo real no software direcionado, bibliotecas de sistema operacional de gancho, adulterar as respostas, comunicações e portos, e gerar criptogramas para suas chamadas transações GHOST.
As versões mais recentes do Prilex são diferentes das anteriores na forma como o ataque ocorre: o agente da ameaça mudou dos ataques de repetição para transações fraudulentas usando criptogramas gerados pelo cartão da vítima durante o processo de pagamento na loja, referidas pelos autores do malware como transações “GHOST”, o relatório explicado.
“Nestes ataques, as amostras Prilex foram instaladas no sistema como executáveis RAR SFX que extraíram todos os arquivos necessários para o diretório do malware e executaram os scripts de instalação (Arquivos VBS),”Disseram os pesquisadores. Dos arquivos instalados, destacaram três módulos usados na campanha: uma porta dos fundos, um módulo ladrão, e um módulo de upload.
Como ocorre um ataque de malware Prilex?
O ataque é baseado em engenharia social bem pensada e lembra um suporte técnico falso. Em um cenário, é iniciado por um e-mail de spear phishing que se faz passar por um técnico de um fornecedor de PoS, instando o destinatário a atualizar seu software PoS. Após esta interação, os cibercriminosos enviam um técnico falso ao prédio da organização visada para instalar uma atualização nos terminais PoS. Claro, a atualização é maliciosa.
Outra versão do ataque redireciona a vítima para instalar a ferramenta de acesso remoto AnyDesk. Uma vez que este acesso é concedido, o firmware PoS é substituído por uma versão maliciosa. A última variante do Prilex suporta um backdoor, um ladrão, e um carregador, cada um dos quais tem várias atividades para realizar.
“O grupo Prilex demonstrou um alto nível de conhecimento sobre transações com cartões de crédito e débito, e como funciona o software usado para processamento de pagamentos,” os pesquisadores disseram. O sucesso do grupo motivou o surgimento de novas famílias com grande impacto na cadeia de pagamentos.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: