安全分析师今年观察到三个新版本的 Prilex PoS 目标恶意软件,这表明其作者和运营商已重新开始行动。
Prilex 于 2014 年开始以 ATM 为重点的恶意软件,并于 2016 年转向 PoS(销售点)设备。虽然开发和分发在 2020 年达到顶峰,但该恶意软件在 2021 年消失了。
卡巴斯基分析师现在报告说,Prilex 已经回归,去年的运营中断似乎是一个休息时间,专注于开发更复杂和更强大的版本。
最新版本能够生成 EMV(Europay、MasterCard 和 Visa)密码,由 VISA于 2019 年推出,作为交易验证系统,用于帮助检测和阻止支付欺诈。
正如卡巴斯基报告中详述的那样,它还使威胁行为者能够使用 EMV 密码(卡和包含交易详细信息的读卡器之间的加密消息)来执行“GHOST 交易”,即使使用受 CHIP 和 PIN 技术保护的信用卡也是如此。
卡巴斯基解释说:“在新版本的 Prilex 执行的 GHOST 攻击中,它会在捕获交易后请求新的 EMV 密码,”以用于欺诈交易。
感染过程和新能力
感染始于冒充 PoS 供应商技术人员的鱼叉式网络钓鱼电子邮件,声称该公司需要更新其 PoS 软件。
接下来,假技术人员亲自访问目标的场所,并在 PoS 终端上安装恶意升级。
或者,攻击者会指示受害者在他们的计算机上安装 AnyDesk 远程访问工具,然后用它来用一个 laced 版本替换 PoS 固件。
感染后,操作员将对机器进行评估,以确定目标在金融交易量方面是否足够多产,或者是否不值得他们花时间。
新的 Prilex 版本添加了一个用于通信的后门、一个用于拦截所有数据交换的窃取器以及一个用于渗透的上传器模块。
后门支持各种功能,例如文件操作、命令执行、进程终止、注册表修改和屏幕捕获。
它的窃取器模块使用多个 Windows API 上的挂钩来窥探 PIN 键盘和 PoS 软件之间的通信通道,并可以修改交易内容、捕获卡信息并从卡中请求新的 EMV 密码。
捕获的信息以加密形式本地保存在受感染的计算机上,并通过 HTTP POST 请求定期上传到恶意软件的命令和控制 (C2) 服务器。
“Prilex 集团在信用卡和借记卡交易以及用于支付处理的软件如何工作方面表现出高水平的知识,”卡巴斯基总结道。
“这使攻击者能够不断更新他们的工具,以便找到绕过授权策略的方法,从而允许他们执行攻击。”
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 升级的Prilex销售点恶意软件绕过信用卡安全性
