Kaspersky forskare detaljerade en ny kampanj av Prilex malware – som riktar sig till PoS-maskiner för att stjäla kortdata och manipulera transaktioner som görs genom den.
De noterade att Prilex-gänget har dykt upp efter ett års mellanrum och kommer med tre nya versioner för att förbättra deras verksamhet.
Den innehåller nu en bakdörr för fjärråtkomst och drift, en stjälare för att kapa data och manipulera transaktioner och en uppladdare för att exportera stulna data.
Prilex PoS-targeting Malware Ny version
Från och med bankomater redan 2014, Prilex har vuxit till ett fullfjädrat skadligt program som riktar sig till Point-of-Sale-system – med topputveckling och distribution 2020, innan det tog en stor paus förra året.
Tja, detta var inte en riktig semester för Prilex-författarna, eftersom de nu har visat upp tre nya versioner av skadlig programvara som kan kringgå kärnsäkerheten inbäddad i kreditkort. Som Kaspersky-forskare rapporterad, den nya versionen av Prilex malware kan generera EMV (Europay, MasterCard och Visa) kryptogram för att skapa GHOST-transaktioner!
Läs också – Ny info-stjäl skadlig programvara Erbium sprids genom knäckta spel
EVM, som introducerades av VISA 2019, är ett transaktionsvalideringssystem för bättre upptäckt och blockering av betalningsbedrägerier. Dess kryptogram är ett krypterat meddelande mellan kortet och POS-läsaren som innehåller transaktionsdetaljer.
att användas i bedrägliga transaktioner, sa Kaspersky-forskare.
Kampanjen börjar med att en imiterande tekniker skickar ett nätfiskemail till en PoS-leverantör och påstår att företaget behöver uppdatera sin PoS-programvara. När det tillåts skickar teamet en falsk tekniker till målets lokaler för att installera en skadlig uppgradering på sina PoS-terminaler.
Alternativt ber det efterliknade gänget också leverantörerna att installera AnyDesk för att uppdatera sina PoS-terminaler på distans. När de är klara (installerat Prilex) får de styra terminalerna på distans och stjäla data som de vill. Den uppdaterade Prilex skadliga programvaran innehåller en bakdörr som stöder filåtgärder, kommandoexekvering, processavslutning, registerändringar och skärmfångst.
Vidare, en stjälmodul för att snoka efter kommunikationen mellan PIN-koden och PoS-mjukvaran, och till och med modifiera transaktioner, fånga kortinformation och begära nya EMV-kryptogram från kortet. Och slutligen skickar en uppladdare all insamlad data till hackarens C2 via HTTP POST-förfrågningarna.
Tills dess sparas den fångade informationen i krypterad form lokalt på den komprometterade datorn. Detta hack är dåligt för inte bara leverantörerna utan även för kunderna som använder sina kort mot de infekterade terminalerna.