Güvenlik analistleri, bu yıl Prilex PoS hedefleyen kötü amaçlı yazılımın üç yeni sürümünü gözlemledi ve bu, yazarlarının ve operatörlerinin tekrar harekete geçtiğini gösteriyor.
Prilex, 2014’te ATM odaklı kötü amaçlı yazılım olarak başladı ve 2016’da PoS (satış noktası) cihazlarına döndü. Geliştirme ve dağıtım 2020’de zirve yaparken, kötü amaçlı yazılım 2021’de ortadan kayboldu.
Kaspersky analistleri şimdi Prilex’in geri döndüğünü ve geçen yılki operasyonel aranın daha sofistike ve güçlü bir sürüm geliştirmeye odaklanmak için bir mola olduğunu bildiriyor.
En son taksit, EMV (Europay, MasterCard ve Visa) kriptogramları üretebilir, 2019’da tanıtıldı Ödeme sahtekarlığını tespit etmeye ve engellemeye yardımcı olmak için bir işlem doğrulama sistemi olarak VISA tarafından.
detaylandırıldığı gibi Kaspersky raporuaynı zamanda tehdit aktörlerinin EMV kriptogramını (kart ile okuyucu arasında işlem detaylarını içeren şifreli mesajlar) kullanarak, CHIP ve PIN teknolojisi ile korunan kredi kartlarını kullanarak bile ‘HAYALET işlemleri’ gerçekleştirmelerini sağlar.
Kaspersky’nin açıkladığı gibi, “Prilex’in daha yeni sürümleri tarafından gerçekleştirilen GHOST saldırılarında, işlemi yakaladıktan sonra yeni EMV kriptogramları talep ediyor”, sahte işlemlerde kullanılmak üzere.
Enfeksiyon süreci ve yeni yetenekler
Enfeksiyon, şirketin PoS yazılımını güncellemesi gerektiğini iddia eden bir PoS satıcısından bir teknisyeni taklit eden bir hedef odaklı kimlik avı e-postasıyla başlar.
Ardından, sahte teknisyen hedefin tesislerini şahsen ziyaret eder ve PoS terminallerine kötü amaçlı bir yükseltme yükler.
Alternatif olarak, saldırganlar kurbanı AnyDesk uzaktan erişim aracını bilgisayarına kurmaya yönlendirir ve ardından bunu PoS ürün yazılımını bağcıklı bir sürümle değiştirmek için kullanır.
Enfeksiyondan sonra operatörler, hedefin finansal işlem hacimleri açısından yeterince verimli olup olmadığını veya zaman ayırmaya değip değmediğini belirlemek için makineyi değerlendirecektir.
Yeni Prilex sürümü, iletişim için bir arka kapı, tüm veri alışverişlerini engellemek için bir hırsız ve sızma için bir yükleyici modülü ekledi.
Arka kapı, dosya eylemleri, komut yürütme, işlem sonlandırma, kayıt defteri değişikliği ve ekran yakalama gibi çeşitli yetenekleri destekler.
Çalma modülü, PIN pad ve PoS yazılımı arasındaki bir iletişim kanalını gözetlemek için birden çok Windows API’sinde kancalar kullanır ve işlem içeriğini değiştirebilir, kart bilgilerini yakalayabilir ve karttan yeni EMV kriptogramları talep edebilir.
Yakalanan bilgiler, güvenliği ihlal edilmiş bilgisayarda yerel olarak şifrelenmiş biçimde kaydedilir ve HTTP POST istekleri aracılığıyla kötü amaçlı yazılımın komut ve kontrol (C2) sunucusuna periyodik olarak yüklenir.
Kaspersky, “Prilex grubu, kredi ve banka kartı işlemleri ve ödeme işleme için kullanılan yazılımın nasıl çalıştığı hakkında yüksek düzeyde bilgi sahibi olduğunu gösterdi.”
“Bu, saldırganların yetkilendirme politikalarını aşmanın bir yolunu bulmak için araçlarını güncellemeye devam etmelerini ve saldırılarını gerçekleştirmelerini sağlar.”