Технический специалист дает жертве выбрать — каким способом заразить терминал и раскрыть все данные.
Аналитики Лаборатории Касперского обнаружили 3 новые версии вредоносного ПО Prilex, нацеленного на PoS-терминалы. Prilex появился в 2014 году и сначала атаковал банкоматы, а в 2016 году переместился PoS-устройства (Point-of-Sale). Пик разработки и распространения пришелся на 2020 год, но вредоносное ПО исчезло в 2021 году. Однако, по словам специалистов, за это время операторы Prilex разработали более сложную и разрушительную версию вредоносного ПО.
Последний выпуск ПО способен генерировать криптограммы EMV (Europay, MasterCard и Visa), систему проверки транзакций, которая помогает обнаруживать и блокировать мошенничество с платежами. EMV представляет из себя систему зашифрованных сообщений между картой и считывателем, содержащие детали транзакции. Согласно отчету Лаборатории Касперского, Эта система позволяет злоумышленникам использовать EMV для выполнения «фантомных транзакций» с любым типом карт.
Серия новых атак под названием GHOST Prilex запрашивает новые криптограммы EMV после захвата транзакции, которые затем используются в мошеннических транзакциях.
Заражение начинается с фишингового электронного письма от лица технического специалиста поставщика PoS-терминала. В письме утверждается, что компании необходимо обновить программное обеспечение терминала. Затем мошенник лично посещает помещение цели и устанавливает вредоносное обновление на PoS-терминал.
В качестве альтернативы злоумышленник предлагает жертве установить инструмент удаленного доступа AnyDesk на компьютер, а затем использовать его для обновления прошивки PoS-устройства.
После заражения операторы оценивают жертву, чтобы определить, является ли цель достаточно продуктивной с точки зрения объемов финансовых транзакций или не стоит тратить на нее время.
В новой версии Prilex добавлен бэкдор для связи, стилер для перехвата всех обменов данными и модуль загрузки для эксфильтрации.
Бэкдор поддерживает различные возможности, такие как:
- действия с файлами;
- выполнение команд;
- завершение процессов;
- изменение реестра;
- захват экрана.
Также хакер может использовать перехватчики на нескольких API-интерфейсах Windows для отслеживания канала связи между PIN-панелью и ПО терминала, чтобы изменять содержимое транзакций, собирать информацию о карте и запрашивать новые криптограммы EMV с карты.
Перехваченная информация сохраняется в зашифрованном виде локально на взломанном компьютере и периодически загружается на C&C сервере злоумышленника через POST-запросы.
Эксперты Лаборатории Касперского заявили, что группировка Prilex продемонстрировала высокий уровень знаний о транзакциях по кредитным и дебетовым картам и о том, как работает ПО для обработки платежей.
Источник securitylab