Nieuwe en geavanceerde malware richt zich op geldautomaten

Gepubliceerd op 30 september 2022 om 07:00

First click here and then choose your language with the Google translate bar at the top of this page ↑

De Prilex-dreigingsgroep, bekend om het stelen van miljoenen dollars van banken, heeft een aanzienlijke ontwikkeling doorgemaakt. Dit ontdekten onderzoekers van Kaspersky. Prilex heeft zijn tools opgewaardeerd van een eenvoudige geheugenschraper tot een geavanceerde en complexe malware. Deze is nu gericht op modulaire Point of Sales (PoS)-terminals. Cybercriminelen verkopen hun malware ook actief op het darkweb als Malware-as-a-Service, waardoor deze nu beschikbaar is voor andere cybercriminelen en het risico voor bedrijven wereldwijd toeneemt om geld te verliezen.

Cybercriminelen Prilex

Prilex is een bekende en gevaarlijke dreigingsactor die zich richt op de kern van de betalingssector - Automated Teller Machines (ATM's), oftewel pinautomaten, en Point of Sales (PoS) terminals. Prilex is sinds 2014 actief en zou achter een van de grootste aanvallen op geldautomaten in Brazilië zitten. Tijdens carnaval in 2016 kloonde Prilex meer dan 28.000 creditcards en trok meer dan 1.000 geldautomaten van een van de Braziliaanse banken leeg. De fraudeurs stalen al het geld dat in de machines aanwezig was. De schade na dit incident werd geschat op miljoenen dollars.

In 2016 richtte de groep al hun aanvallen alleen op PoS-systemen. Sindsdien hebben zij hun malware sterk verbeterd, waardoor het een complexe bedreiging is geworden die snel evolueert en grote gevolgen heeft voor de betalingsketen. Nu voert de Prilex-dreigingsactor zogenaamde "GHOST"-aanvallen uit - frauduleuze transacties met behulp van cryptogrammen - die eerder door de kaart van het slachtoffer zijn gegenereerd tijdens het betalingsproces in de winkel.

Werkwijze

De eerste machine-infecties gebeuren meestal via social engineering. Nadat ze een doelwit hebben gekozen, bellen de cybercriminelen de bedrijfseigenaar of zijn werknemers en zeggen dat hun PoS-software moet worden bijgewerkt door een technicus. Later komt de neptechnicus persoonlijk naar het bedrijf en infecteert de machines met kwaadaardige software. In een ander scenario vragen fraudeurs het doelwit AnyDesk te installeren en de neptechnicus toegang te verlenen om de malware op afstand te installeren.

Voordat de cybercriminelen hun slachtoffers treffen, voeren zij een eerste screening van de machine uit om na te gaan hoeveel transacties er al hebben plaatsgevonden en of dit doelwit de moeite waard is om aan te vallen. Zo ja, dan vangt de malware een lopende transactie op en wijzigt de inhoud ervan om de kaartgegevens vast te leggen. Alle buitgemaakte kaartgegevens worden vervolgens opgeslagen in een versleuteld bestand, dat later naar de server van de aanvallers wordt gestuurd, zodat zij transacties kunnen verrichten via een frauduleus PoS-apparaat dat op naam staat van een nepbedrijf.

Vastgelegde creditcardgegevens die later naar de exploitatieserver worden gestuurd

Zo verkrijgen aanvallers, na één PoS-systeem te hebben aangevallen, dagelijks gegevens van tientallen en zelfs honderden kaarten. Dit is vooral gevaarlijk als de besmette machines zich bevinden in populaire winkelcentra in dichtbevolkte steden, waar de dagelijkse stroom klanten kan oplopen tot duizenden mensen

Het schema van de Prilex-infectieketen

In het recente onderzoek hebben Kaspersky-experts ook ontdekt dat de Prilex-groep de ontwikkelingscyclus van hun malware controleert met behulp van Subversion, dat door professionele developerteams wordt gebruikt. Ook verkoopt een zogenaamde officiële Prilex-website de kits van hun malware aan andere cybercriminelen als Malware-as-a-Service. Prilex heeft al eerder verschillende versies van zijn malware verkocht op het darkweb. Zo verloor een Duitse bank in 2019 meer dan 1,5 miljoen euro bij een soortgelijke aanval door de Prilex-malware. Nu, met de opkomst van hun MasS-operatie, zouden zeer geavanceerde en gevaarlijke versies van PoS-malware zich naar vele landen kunnen verspreiden en zou het risico om miljoenen dollars te verliezen toenemen voor bedrijven over de hele wereld.

Kaspersky-onderzoekers ontdekten ook websites en Telegram-chats waar cybercriminelen Prilex-malware verkopen. Ze doen zich voor als de Prilex-groep zelf en bieden de nieuwste versies van PoS-malware aan, die tussen de 3.500 en 13.000 dollar kosten. Kaspersky-experts zijn niet zeker van het echte eigendom van deze websites, omdat het copycats kunnen zijn, die proberen zich voor te doen als de groep en geld stelen door gebruik te maken van de recente bekendheid.

Cybercriminelen vragen 3.500 USD voor de vermeende Prilex PoS-kit

Fabio Assolini, hoofd van het Latijns-Amerikaanse Global Research and Analysis Team (GReAT) bij Kaspersky: "In films zien we vaak hoe overvallers met een pistool in de hand bij een bank inbreken, de kassa leeghalen en met een grote zak geld op de vlucht slaan. In de echte wereld vinden bankovervallen echter heel anders plaats. Tegenwoordig zijn echte criminelen zeer sluw: ze vallen meestal op afstand aan met behulp van malware, zonder fysiek contact met de bank. Hierdoor zijn ze veel moeilijker op te sporen, en zolang geldautomaten en PoS niet voldoende beschermd en bijgewerkt zijn, zal het aantal bedreigingen en incidenten alleen maar toenemen”.

Voor bedrijven om zich tegen dergelijke aanvallen te beschermen, wordt aangeraden om een meerlaagse oplossing te gebruiken, oudere systemen te beveiligen met up-to-date bescherming en om zelfbeschermingstechnieken te implementeren in PoS-modules. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Prilex
PDF – 2,8 MB 18 downloads

Meer rapporten? Kijk dan hier

Bron: zdnet.com, securelist.com

Meer malware nieuws 

Spyware op computer of smartphone? Hoe verwijderen?

Stel je voor dat al je data en activiteiten 24/7 via je computer of smartphone in de gaten worden gehouden zonder dat je het doorhebt. Vreselijk, toch? Het klinkt misschien als een plot uit een spionagefilm, maar helaas is 'spyware' vandaag de dag een groot probleem waar veel mensen mee te maken hebben. Lees hier wat spyware precies is en hoe je het kunt herkennen, verwijderen en voorkomen.

Lees meer »

Politie stopt internationaal verspreiding FluBot malware

De Nederlandse politie heeft vorige maand de infrastructuur van de beruchte Android-malware FluBot verstoord, waardoor de malware niet meer werkt. Het uitschakelen van FluBot was het resultaat van een internationale politieoperatie waar naast de Nederlandse politie onder andere ook Europol, de United States Secret Service en Belgische politie aan deelnamen.

Lees meer »

«   »