Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/upgraded-prilex-point-of-sale-malware-bypasses-credit-card-security/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Os analistas de segurança observaram três novas versões do malware direcionado ao Prilex PoS este ano, indicando que seus autores e operadores estão de volta à ação.
O Prilex começou como malware focado em ATM em 2014 e mudou para dispositivos PoS (ponto de venda) em 2016. Embora o desenvolvimento e a distribuição tenham atingido o pico em 2020, o malware desapareceu em 2021.
Os analistas da Kaspersky agora relatam que o Prilex voltou, e o hiato operacional do ano passado parece ter sido uma pausa para focar no desenvolvimento de uma versão mais sofisticada e potente.
A última parcela é capaz de gerar criptogramas EMV (Europay, MasterCard e Visa), introduzidos em 2019 pela VISA como um sistema de validação de transações para ajudar a detectar e bloquear fraudes de pagamento.
Conforme detalhado no relatório da Kaspersky, ele também permite que os agentes de ameaças usem o criptograma EMV (mensagens criptografadas entre o cartão e o leitor contendo detalhes da transação) para realizar 'transações GHOST' mesmo usando cartões de crédito protegidos com tecnologia CHIP e PIN.
“Nos ataques GHOST realizados pelas versões mais recentes do Prilex, ele solicita novos criptogramas EMV após a captura da transação”, para serem usados em transações fraudulentas, como explicou Kaspersky.
Cadeia de ataque de malware Prilex (Kaspersky)
Processo de infecção e novas capacidades
A infecção começa com um e-mail de spear phishing se passando por um técnico de um fornecedor de PoS, alegando que a empresa precisa atualizar seu software de PoS.
Em seguida, o falso técnico visita as instalações do alvo pessoalmente e instala uma atualização maliciosa nos terminais PoS.
Como alternativa, os invasores orientam a vítima a instalar a ferramenta de acesso remoto AnyDesk em seu computador e usá-la para substituir o firmware do PoS por uma versão atada.
Após a infecção, os operadores avaliarão a máquina para determinar se o alvo é prolífico o suficiente em termos de volumes de transações financeiras ou se não vale a pena.
Adicionando tarefas agendadas e chaves do Registro para persistência (Kaspersky)
A nova versão do Prilex adicionou um backdoor para comunicação, um ladrão para interceptar todas as trocas de dados e um módulo de upload para exfiltração.
O backdoor oferece suporte a vários recursos, como ações de arquivo, execução de comandos, encerramento de processos, modificação do registro e captura de tela.
Seu módulo ladrão usa ganchos em várias APIs do Windows para bisbilhotar um canal de comunicação entre o teclado PIN e o software PoS e pode modificar o conteúdo da transação, capturar informações do cartão e solicitar novos criptogramas EMV do cartão.
As informações capturadas são salvas de forma criptografada localmente no computador comprometido e enviadas periodicamente para o servidor de comando e controle (C2) do malware por meio de solicitações HTTP POST.
"O grupo Prilex demonstrou um alto nível de conhecimento sobre transações com cartão de crédito e débito e como funciona o software usado para processamento de pagamentos", concluiu Kaspersky.
“Isso permite que os invasores continuem atualizando suas ferramentas para encontrar uma maneira de contornar as políticas de autorização, permitindo que eles executem seus ataques”.
Postar um comentário