Nieuwe en geavanceerde malware richt zich op geldautomaten

Gepubliceerd op 30 september 2022 om 07:00

First click here and then choose your language with the Google translate bar at the top of this page ↑

De Prilex-dreigingsgroep, bekend om het stelen van miljoenen dollars van banken, heeft een aanzienlijke ontwikkeling doorgemaakt. Dit ontdekten onderzoekers van Kaspersky. Prilex heeft zijn tools opgewaardeerd van een eenvoudige geheugenschraper tot een geavanceerde en complexe malware. Deze is nu gericht op modulaire Point of Sales (PoS)-terminals. Cybercriminelen verkopen hun malware ook actief op het darkweb als Malware-as-a-Service, waardoor deze nu beschikbaar is voor andere cybercriminelen en het risico voor bedrijven wereldwijd toeneemt om geld te verliezen.

Cybercriminelen Prilex

Prilex is een bekende en gevaarlijke dreigingsactor die zich richt op de kern van de betalingssector - Automated Teller Machines (ATM's), oftewel pinautomaten, en Point of Sales (PoS) terminals. Prilex is sinds 2014 actief en zou achter een van de grootste aanvallen op geldautomaten in Brazilië zitten. Tijdens carnaval in 2016 kloonde Prilex meer dan 28.000 creditcards en trok meer dan 1.000 geldautomaten van een van de Braziliaanse banken leeg. De fraudeurs stalen al het geld dat in de machines aanwezig was. De schade na dit incident werd geschat op miljoenen dollars.

In 2016 richtte de groep al hun aanvallen alleen op PoS-systemen. Sindsdien hebben zij hun malware sterk verbeterd, waardoor het een complexe bedreiging is geworden die snel evolueert en grote gevolgen heeft voor de betalingsketen. Nu voert de Prilex-dreigingsactor zogenaamde "GHOST"-aanvallen uit - frauduleuze transacties met behulp van cryptogrammen - die eerder door de kaart van het slachtoffer zijn gegenereerd tijdens het betalingsproces in de winkel.

Werkwijze

De eerste machine-infecties gebeuren meestal via social engineering. Nadat ze een doelwit hebben gekozen, bellen de cybercriminelen de bedrijfseigenaar of zijn werknemers en zeggen dat hun PoS-software moet worden bijgewerkt door een technicus. Later komt de neptechnicus persoonlijk naar het bedrijf en infecteert de machines met kwaadaardige software. In een ander scenario vragen fraudeurs het doelwit AnyDesk te installeren en de neptechnicus toegang te verlenen om de malware op afstand te installeren.

Voordat de cybercriminelen hun slachtoffers treffen, voeren zij een eerste screening van de machine uit om na te gaan hoeveel transacties er al hebben plaatsgevonden en of dit doelwit de moeite waard is om aan te vallen. Zo ja, dan vangt de malware een lopende transactie op en wijzigt de inhoud ervan om de kaartgegevens vast te leggen. Alle buitgemaakte kaartgegevens worden vervolgens opgeslagen in een versleuteld bestand, dat later naar de server van de aanvallers wordt gestuurd, zodat zij transacties kunnen verrichten via een frauduleus PoS-apparaat dat op naam staat van een nepbedrijf.

Vastgelegde creditcardgegevens die later naar de exploitatieserver worden gestuurd

Zo verkrijgen aanvallers, na één PoS-systeem te hebben aangevallen, dagelijks gegevens van tientallen en zelfs honderden kaarten. Dit is vooral gevaarlijk als de besmette machines zich bevinden in populaire winkelcentra in dichtbevolkte steden, waar de dagelijkse stroom klanten kan oplopen tot duizenden mensen

Het schema van de Prilex-infectieketen

In het recente onderzoek hebben Kaspersky-experts ook ontdekt dat de Prilex-groep de ontwikkelingscyclus van hun malware controleert met behulp van Subversion, dat door professionele developerteams wordt gebruikt. Ook verkoopt een zogenaamde officiële Prilex-website de kits van hun malware aan andere cybercriminelen als Malware-as-a-Service. Prilex heeft al eerder verschillende versies van zijn malware verkocht op het darkweb. Zo verloor een Duitse bank in 2019 meer dan 1,5 miljoen euro bij een soortgelijke aanval door de Prilex-malware. Nu, met de opkomst van hun MasS-operatie, zouden zeer geavanceerde en gevaarlijke versies van PoS-malware zich naar vele landen kunnen verspreiden en zou het risico om miljoenen dollars te verliezen toenemen voor bedrijven over de hele wereld.

Kaspersky-onderzoekers ontdekten ook websites en Telegram-chats waar cybercriminelen Prilex-malware verkopen. Ze doen zich voor als de Prilex-groep zelf en bieden de nieuwste versies van PoS-malware aan, die tussen de 3.500 en 13.000 dollar kosten. Kaspersky-experts zijn niet zeker van het echte eigendom van deze websites, omdat het copycats kunnen zijn, die proberen zich voor te doen als de groep en geld stelen door gebruik te maken van de recente bekendheid.

Cybercriminelen vragen 3.500 USD voor de vermeende Prilex PoS-kit

Fabio Assolini, hoofd van het Latijns-Amerikaanse Global Research and Analysis Team (GReAT) bij Kaspersky: "In films zien we vaak hoe overvallers met een pistool in de hand bij een bank inbreken, de kassa leeghalen en met een grote zak geld op de vlucht slaan. In de echte wereld vinden bankovervallen echter heel anders plaats. Tegenwoordig zijn echte criminelen zeer sluw: ze vallen meestal op afstand aan met behulp van malware, zonder fysiek contact met de bank. Hierdoor zijn ze veel moeilijker op te sporen, en zolang geldautomaten en PoS niet voldoende beschermd en bijgewerkt zijn, zal het aantal bedreigingen en incidenten alleen maar toenemen”.

Voor bedrijven om zich tegen dergelijke aanvallen te beschermen, wordt aangeraden om een meerlaagse oplossing te gebruiken, oudere systemen te beveiligen met up-to-date bescherming en om zelfbeschermingstechnieken te implementeren in PoS-modules. De volledige analyse van het onderzoek kunt u hier onder bekijken of downloaden.

Prilex
PDF – 2,8 MB 159 downloads

Meer rapporten? Kijk dan hier

Bron: zdnet.com, securelist.com

Meer malware nieuws 

Android stalkerware in opmars

Het gebruik van mobiele stalkerware, software die stalkers stilletjes en zonder hun medeweten installeren op mobiele apparaten van slachtoffers, neemt volgens onderzoekers toe. In 2019 registreerde onderzoekers bijna vijf keer meer Android stalkerware-detecties dan in 2018, en in 2020 waren er 1,5 keer meer detecties dan in 2019. Naast de toename ontdekte het onderzoeksteam van ESET ook ernstige kwetsbaarheden in Android stalkerware-apps en hun monitoringservers. Deze kwetsbaarheden kunnen leiden tot ernstige gevolgen voor de gebruiker als ze worden uitgebuit. "Security: The Hidden Cost of Android Stalkerware" werd eergisteren op de RSA Conference gepresenteerd door onderzoeker Lukáš Štefanko.

Lees meer »

Overwacht hogere mobiele factuur?

KPN waarschuwt haar klanten voor FlutBot. Wie deze malware installeert, kan mogelijk een ‘hogere mobiele factuur’ verwachten. Dit komt omdat FluBot sms’jes verstuurt naar mensen in jouw contactlijst. “Hiermee krijgt de app het vermogen om vanuit het toestel kosten te maken via KPN of andere geïnstalleerde apps.”

Lees meer »

Malware toename met 229%

Gisteren kondigde 'G DATA CyberDefense' zijn jaarlijkse malware top 10 aan. In 2020 identificeerde de specialisten van het securitybedrijf maar liefst 16.1 miljoen malwaresamples. Dit zijn gemiddeld 76 nieuwe malware samples per minuut. Dit is een toename van 228.6 percent vergeleken met 2019.

Lees meer »

QR-code scanner App wordt na update Malware

Tien miljoen gebruikers van de 'Barcode Scanner-app' die in de Google Play Store werd aangeboden zijn na een update van de app met malware besmet geraakt. Dat laat anti-malware-bedrijf 'Malwarebytes' weten. 'Barcode Scanner' laat gebruikers barcodes en QR-codes scannen. De app was al sinds 2017 in de Google Play Store te vinden.

Lees meer »

Nieuwe malware gericht op wetenschappelijke onderzoeksnetwerken

Cybercrime onderzoekers hebben 'Kobalos' ontdekt, malware die supercomputers – zogenaamde high performance computer (HPC) clusters - heeft aangevallen. De onderzoekers werkten samen met het 'CERN Computer Security Team' en andere organisaties die betrokken zijn bij het inperken van aanvallen op deze wetenschappelijke onderzoeksnetwerken. Onder de doelwitten bevonden zich onder andere een grote Aziatische Internet providers een Noord-Amerikaanse leverancier van endpoint security, alsook verscheidene private servers.

Lees meer »