PoS机恶意软件全新升级!秒杀磁条卡-芯片卡交易安全措施!

admin 2022年10月1日04:48:07评论33 views字数 3216阅读10分43秒阅读模式
参考安全分析师今年观察到三个新版本Prilex的PoS机恶意软件,这表明其作者和运营者已重新开始行动。Prilex是2014年出现的以ATM为重点的恶意软件,并于2016年转向PoS(销售点)设备。虽然开发和分发在2020年达到顶峰,但该恶意软件在2021年消失了。卡巴斯基分析师现在报告说,Prilex已经回归,去年的运营中断似乎是一个休息时间,专注于开发更复杂和更强大的版本。新版本的Prilex添加了一个用于通信的后门,一个用于拦截所有数据交换的窃取器,以及一个用于渗透的下载模块。后门支持各种功能,例如:对文件的操作;命令的执行;终止进程;注册表更改;屏幕截图。
PoS机恶意软件全新升级!秒杀磁条卡-芯片卡交易安全措施!
最新版本能够生成EMV(Europay、MasterCard和Visa)口令,EMV口令机制由VISA于2019年推出,作为交易验证系统,用于帮助检测和阻止支付欺诈。正如卡巴斯基报告中详述的那样,它还使威胁行为者能够使用EMV口令(卡和包含交易详细信息的读卡器之间的加密消息)来执行“GHOST 交易”,即使使用受CHIP和PIN技术保护的信用卡也是如此。卡巴斯基解释说:“在新版本的Prilex执行的GHOST攻击中,它会在捕获交易后请求新的EMV口令,”以用于欺诈交易。
Prilex是谁?
Prilex是巴西的威胁行为者,它已经从以ATM为重点的恶意软件演变为模块化的PoS机恶意软件。该组织2016年实施了该国最大的ATM攻击案件之一,感染并控制了1,000多台机器,同时还克隆了28,000多张信用卡,这些信用卡在大盗之前在这些 ATM中使用。但罪犯的贪婪是无限的:他们想要更多,所以他们实现了。
在这起工典案例中,攻击者没有对机器的物理访问权限,但他们能够通过使用包含 4G路由器和Raspberry PI的DIY设备访问银行的网络。通过打开后门,他们能够劫持该机构的无线连接并随意瞄准ATM。在获得初始网络访问权限后,攻击者将运行网络识别过程以查找每个ATM的IP地址。有了这些信息,攻击者将启动横向移动阶段,使用默认的 Windows凭据,然后在所需的系统中安装定制的恶意软件。后门将允许攻击者通过启动恶意软件界面并键入主谋提供的代码来清空ATM套接字,该代码特定于每个被黑客攻击的ATM。
自2014年开始活跃,2016年该组织决定放弃ATM恶意软件,将所有攻击集中在PoS系统上,瞄准支付行业的核心。这些犯罪分子对支付市场、电子转帐软件和协议有着广泛的了解。他们迅速采用了恶意软件即服务模式,并扩大了在国外的影响力,创建了一个以模块化方式包含后门、上传程序和窃取程序的工具集。从那时起,我们一直在跟踪攻击者的一举一动,目睹他们给支付行业带来的损害和巨大的经济损失。
Prilex组织的PoS恶意软件从简单的内存抓取器演变为非常先进和复杂的恶意软件,直接处理PIN键盘硬件协议而不是使用更高级别的API,在目标软件中进行实时修补,挂钩操作系统库,弄乱回复、通信和端口,以及从基于重放的攻击切换到为其GHOST交易生成密码,即使是使用CHIP和PIN技术保护的信用卡。
Prilex有多厉害?
Prilex的初始版本能够执行“重放攻击” ,在这种情况下,它们并没有破坏EMV协议,而是利用了其糟糕的实现。由于支付运营商未能执行EMV标准要求的某些验证,犯罪分子可以在流程中利用此漏洞为他们谋取利益。
在这种攻击中,欺诈者在购买EMV时通过卡网络推送常规磁条交易,因为他们控制着支付终端,并有能力操纵通过该终端进行的交易的数据字段。后来他们转而从真正的基于EMV的芯片卡交易中获取流量。窃贼可以将被盗的卡数据插入交易流,同时修改商家和收单行的银行账户。
至少自2014年以来,巴西网络犯罪分子已经成功发起重放攻击。正如Brian Krebs所指出的,新英格兰的一家小型金融机构在不到两天的时间内就与巴西商店的约120,000美元欺诈指控作斗争。该银行设法阻止了80,000美元,但该银行的处理器(在核心系统离线时批准传入交易)让另外40,000美元通过。所有的欺诈交易都是借方费用。所有这些都遇到了万事达卡的网络,并且似乎是没有万事达卡系统口令的芯片交易。
另外值得一提的是2019年对一家德国银行的攻击,该银行损失了150万欧元,并使用了相同的技术。Prilex团伙声称对此负责。从名称字段和工具的功能来看,他们很可能使用了他们在黑市上销售的软件。
为了使用克隆的信用卡自动进行攻击,Prilex犯罪分子使用了Xiello等工具,这是卡巴在2020年通过遥测技术发现的。该工具允许网络犯罪分子在进行欺诈性购买时批量使用信用卡。它将购买数据发送给信用卡收单机构,后者随后批准或拒绝交易。
PoS机恶意软件全新升级!秒杀磁条卡-芯片卡交易安全措施!
Prilex用于自动化交易的Xiello工具
随着支付行业和信用卡发行商修复EMV实施错误,重放攻击变得过时且无效,促使Prilex团伙创新并采用其他信用卡欺诈方式。
感染过程和新能力
Prilex不是一种广泛传播的恶意软件,因为它不是通过电子邮件垃圾邮件活动传播的。它具有高度针对性,通常通过社会工程交付感染始于冒充PoS供应商技术人员的鱼叉式网络钓鱼电子邮件,声称该公司需要更新其PoS软件。接下来,假技术人员亲自访问目标的场所,并在PoS终端上安装恶意升级。
或者,攻击者会指示受害者在他们的计算机上安装AnyDesk远程访问工具,然后用它来用一个laced版本替换PoS固件。
PoS机恶意软件全新升级!秒杀磁条卡-芯片卡交易安全措施!
Prilex 恶意软件攻击链(卡巴斯基)
感染后,操作员将对机器进行评估,以确定目标在金融交易量方面是否足够多产,或者是否不值得他们花时间。
PoS机恶意软件全新升级!秒杀磁条卡-芯片卡交易安全措施!
添加计划任务和注册表项以实现持久性 (Kaspersky)
新的Prilex版本添加了一个用于通信的后门、一个用于拦截所有数据交换的窃取器以及一个用于渗透的上传器模块。
后门支持各种功能,例如文件操作、命令执行、进程终止、注册表修改和屏幕捕获。
它的窃取器模块使用多个Windows API上的挂钩来窥探PIN键盘和PoS软件之间的通信通道,并可以修改交易内容、捕获卡信息并从卡中请求新的EMV口令。
捕获的信息以加密形式本地保存在受感染的计算机上,并通过HTTP POST请求定期上传到恶意软件的命令和控制 (C2)服务器。
结论
卡巴认为,Prilex小组对信用卡和借记卡交易以及用于支付处理的软件的工作原理有着高水平的了解。这使攻击者能够不断更新他们的工具,以找到绕过授权策略的方法,从而允许他们执行攻击。
经过多年的活动,该组织已经改变了很多攻击技术。但是,它总是滥用与PoS软件相关的流程来拦截和修改与PIN键盘的通信。考虑到这一点,卡巴强烈建议PoS软件开发人员在其模块中实施自我保护技术,例如通过其Kaspersky SDK提供的保护,旨在防止恶意代码篡改这些模块管理的事务。对于信用卡收单机构和发卡机构,卡巴建议避免“默默无闻的安全”:不要低估欺诈者。必须实施所有EMV验证!
Prilex的成功是促使新家族成为快速发展且更复杂的恶意软件并对支付链产生重大影响的最大动力。
对于成为此类欺诈受害者的金融机构,建议使用卡巴斯基威胁归因引擎来帮助IR团队在受攻击的环境中查找和检测Prilex文件。
参考资源:
1.https://www.bleepingcomputer.com/news/security/upgraded-prilex-point-of-sale-malware-bypasses-credit-card-security/
2.https://securelist.com/prilex-atm-pos-malware-evolution/107551/


原文来源:网空闲话

“投稿联系方式:孙中豪 010-82992251   [email protected]
PoS机恶意软件全新升级!秒杀磁条卡-芯片卡交易安全措施!

原文始发于微信公众号(网络安全应急技术国家工程实验室):PoS机恶意软件全新升级!秒杀磁条卡-芯片卡交易安全措施!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日04:48:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PoS机恶意软件全新升级!秒杀磁条卡-芯片卡交易安全措施!https://cn-sec.com/archives/1326842.html

发表评论

匿名网友 填写信息