Обновленное вредоносное ПО нацелено на платежные терминалы

Чт 29 Сентябрь 2022 14:59

Последний выпуск ПО способен генерировать криптограммы EMV (Europay, MasterCard и Visa), систему проверки транзакций, которая помогает обнаруживать и блокировать мошенничество с платежами. EMVпредставляет из себя систему зашифрованных сообщений между картой и считывателем, содержащие детали транзакции. Согласно отчету Лаборатории Касперского, Эта система позволяет злоумышленникам использовать EMVдля выполнения «фантомных транзакций» с любым типом карт.

Серия новых атак под названием GHOST Prilex запрашивает новые криптограммы EMV после захвата транзакции, которые затем используются в мошеннических транзакциях

Цепочка атак Prilex

Заражение начинается с фишингового электронного письма от лица технического специалиста поставщика PoS-терминала. В письме утверждается, что компании необходимо обновить программное обеспечение терминала. Затем мошенник лично посещает помещение цели и устанавливает вредоносное обновление на PoS-терминал.

В качестве альтернативы злоумышленник предлагает жертве установить инструмент удаленного доступа AnyDesk на компьютер, а затем использовать его для обновления прошивки PoS-устройства.

После заражения операторы оценивают жертву, чтобы определить, является ли цель достаточно продуктивной с точки зрения объемов финансовых транзакций или не стоит тратить на нее время.

В новой версии Prilex добавлен бэкдор для связи, стилер для перехвата всех обменов данными и модуль загрузки для эксфильтрации.

Бэкдор поддерживает различные возможности, такие как:

Также хакер может использовать перехватчики на нескольких API-интерфейсах Windows для отслеживания канала связи между PIN-панелью и ПО терминала, чтобы изменять содержимое транзакций, собирать информацию о карте и запрашивать новые криптограммы EMV с карты.

Перехваченная информация сохраняется в зашифрованном виде локально на взломанном компьютере и периодически загружается на C&Cсервере злоумышленника через POST-запросы.

Эксперты Лаборатории Касперского заявили, что группировка Prilex продемонстрировала высокий уровень знаний о транзакциях по кредитным и дебетовым картам и о том, как работает ПО для обработки платежей.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 261 день 15 часов 13 минут 56 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.