Prilex: zestaw szkodliwych narzędzi pozwalających na klonowanie płatniczych kart czipowych z PIN-em
Badacze z Kaspersky Lab ujawnili, że ugrupowanie stojące za szkodliwym oprogramowaniem Prilex, które atakuje terminale obsługujące karty płatnicze (POS), potrafi użyć skradzionych danych dotyczących kart kredytowych do stworzenia funkcjonalnych, fizycznych kart płatniczych.
Zagrożenie to występuje obecnie w Ameryce Łacińskiej i jest znane ze swojego przyjaznego dla przestępców modelu biznesowego, który sprawia, że przeprowadzenie ataków staje się niepokojąco proste.
Wykorzystywanie płatniczych kart czipowych chronionych za pomocą numeru PIN rozpowszechniło się na całym świecie w ciągu ostatniej dekady, co nieuchronnie zwróciło uwagę cyberprzestępców. Badacze z Kaspersky Lab monitorujący cyberprzestępczość finansową w Ameryce Łacińskiej odkryli, że szkodliwe oprogramowanie Prilex ewoluowało i potrafi teraz atakować tę technologię.
Szkodliwe oprogramowanie Prilex jest aktywne od 2014 r. Badacze obserwowali jego ewolucję od ataków na bankomaty poprzez ataki na systemy POS projektowane przez brazylijskich producentów, po mające obecnie miejsce wykorzystywanie skradzionych informacji dotyczących kart kredytowych w celu stworzenia funkcjonalnych kart płatniczych. Dzięki nim przestępca może przeprowadzić oszukańcze transakcje w każdym sklepie, zarówno online, jak i tradycyjnym. Badacze po raz pierwszy zidentyfikowali na wolności tego typu pełny zestaw narzędzi do przeprowadzania oszustw. Sklonowana karta kredytowa działa w każdym systemie w Brazylii z powodu błędnej implementacji standardu EMV, która oznacza, że nie wszystkie dane są weryfikowane w procesie zatwierdzania płatności.
Z technicznego punktu widzenia Prilex składa się z trzech komponentów: szkodliwego oprogramowania, które modyfikuje system POS i przechwytuje informacje dotyczące karty kredytowej; serwera wykorzystywanego do zarządzania nielegalnie uzyskanymi informacjami; oraz aplikacji użytkownika, za pomocą której „klient” szkodliwego oprogramowania może przeglądać, klonować i zapisywać dane statystyczne dotyczące kart (np. ile pieniędzy skradziono przy użyciu danej karty). Najistotniejszą funkcją omawianego szkodliwego oprogramowania jest związany z nim model biznesowy, w którym uwzględniane są wszystkie potrzeby szkodliwych użytkowników, w tym potrzeba prostego i przyjaznego interfejsu.
Dowody wskazują, że szkodnik jest rozprzestrzeniany przy użyciu poczty tradycyjnej, za pośrednictwem której potencjalne ofiary są nakłaniane do udzielenia przestępcom dostępu do swojego komputera w celu przeprowadzenia sesji zdalnej pomocy, która jest następnie wykorzystywana do zainstalowania szkodliwego oprogramowania. Jak dotąd większość ofiar to tradycyjne sklepy, takie jak stacje benzynowe, supermarkety oraz typowe sklepy detaliczne – wszystkie zlokalizowane w Brazylii.
Mamy do czynienia z całkowicie nowym szkodliwym oprogramowaniem — takim, które oferuje atakującym wszystko: od interfejsu graficznego po dobrze zaprojektowane moduły, które mogą być wykorzystane w celu stworzenia różnych struktur kart kredytowych. Technologia czipowa oraz numery PIN nadal stanowią stosunkową nowość w niektórych częściach świata, takich jak Stany Zjednoczone, dlatego ludzie mogą nie być świadomi zagrożenia związanego z klonowaniem i wykorzystywaniem kart kredytowych. W Brazylii nowa wersja szkodliwego oprogramowania Prilex wykorzystuje błędną implementację standardów branżowych – co pokazuje, jak ważne jest opracowanie bezpiecznych technologii płatności, które będą odporne również na przyszłe ataki – powiedział Thiago Marques, analityk ds. cyberbezpieczeństwa, Kaspersky Lab.
Szczegóły techniczne dotyczące omawianego cyberataku są dostępne na stronie https://r.kaspersky.pl/fABtk.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.