Обновленное вредоносное ПО нацелено на платежные терминалы

Аналитики Лаборатории Касперского обнаружили 3 новые версии вредоносного ПО Prilex, нацеленного на PoS-терминалы.

Prilex появился в 2014 году и сначала атаковал банкоматы, а в 2016 году переместился PoS-устройства (Point-of-Sale). Пик разработки и распространения пришелся на 2020 год, но вредоносное ПО исчезло в 2021 году. Однако, по словам специалистов, за это время операторы Prilex разработали более сложную и разрушительную версию вредоносного ПО.

Последний выпуск ПО способен генерировать криптограммы EMV (Europay, MasterCard и Visa), систему проверки транзакций, которая помогает обнаруживать и блокировать мошенничество с платежами. EMV представляет из себя систему зашифрованных сообщений между картой и считывателем, содержащие детали транзакции. Согласно отчету Лаборатории Касперского, Эта система позволяет злоумышленникам использовать EMV для выполнения «фантомных транзакций» с любым типом карт.

Серия новых атак под названием GHOST Prilex запрашивает новые криптограммы EMV после захвата транзакции, которые затем используются в мошеннических транзакциях

Цепочка атак Prilex

Заражение начинается с фишингового электронного письма от лица технического специалиста поставщика PoS-терминала. В письме утверждается, что компании необходимо обновить программное обеспечение терминала. Затем мошенник лично посещает помещение цели и устанавливает вредоносное обновление на PoS-терминал.

В качестве альтернативы злоумышленник предлагает жертве установить инструмент удаленного доступа AnyDesk на компьютер, а затем использовать его для обновления прошивки PoS-устройства.

После заражения операторы оценивают жертву, чтобы определить, является ли цель достаточно продуктивной с точки зрения объемов финансовых транзакций или не стоит тратить на нее время.

В новой версии Prilex добавлен бэкдор для связи, стилер для перехвата всех обменов данными и модуль загрузки для эксфильтрации.

Бэкдор поддерживает различные возможности, такие как:

• действия с файлами;
• выполнение команд;
• завершение процессов;
• изменение реестра;
• захват экрана.

Также хакер может использовать перехватчики на нескольких API-интерфейсах Windows для отслеживания канала связи между PIN-панелью и ПО терминала, чтобы изменять содержимое транзакций, собирать информацию о карте и запрашивать новые криптограммы EMV с карты.

Перехваченная информация сохраняется в зашифрованном виде локально на взломанном компьютере и периодически загружается на C&C сервере злоумышленника через POST-запросы.

Эксперты Лаборатории Касперского заявили, что группировка Prilex продемонстрировала высокий уровень знаний о транзакциях по кредитным и дебетовым картам и о том, как работает ПО для обработки платежей.