PRILEX er navnet på den nyeste stamme af ATM-malware, der blev opdaget og analyseret af Trend Micro forskere. En tidligere version af denne malware blev spottet af Kaspersky i oktober i år. Den malware er blevet brugt i angreb på brasilianske banker. Angrebene blev meget målrettede.
PRILEX ATM malware - Detaljer
Den malware er blevet udviklet ved hjælp af Visual Basic 6.0 sprog. Det er blevet skabt for at specifikt kapre banking til at stjæle følsomme oplysninger fra ATM-brugere.
Trend Micro forskere analyseret dette nye stamme at opdage, at det viser en anden form for adfærd i forhold til stammen oktober.
Den seneste PRILEX malware fungerer ved at koble bestemte DLL'er, og det erstattet dem med egne programskærme på toppen af andre. De DLL'er er omfattet af den malware, er følgende:
- P32disp0.dll
- P32mmd.dll
- P32afd.dll
Forskerholdet udført en detaljeret analyse af de DLL'er blot konstatere, at der ikke er nogen tilgængelige oplysninger om dem overalt online.
I betragtning af, at strengene, der findes i denne malware var alle på portugisisk (og da Kaspersky rapporterede, at det blev fundet i Brasilien), forskerne besluttede at bede deres bank kontakter i regionen. De fandt, at disse DLL'er tilhører ATM anvendelse af en bank der, hvilket betød kun én ting – en meget målrettet angreb. "Oven i købet, malware påvirker kun et bestemt mærke af ATM, hvilket betyder, angriberne havde muligvis analyseret en af dem og skabte en tilpasset angreb,”Bemærkede forskerne i deres rapport.
Mens analysere malware kode PRILEX, forskerne stødte på noget andet interessant, der finder sted, efter at malware er stjålet brugerdata. Den forsøger at kommunikere med en ekstern kommando og kontrol-server til at uploade kreditkortdata og konto sikkerhedskode. Trend Micro mener, at dette er den første ATM-malware så langt for at antage at det er forbundet til internettet.
Når det er sagt, Det er meget sandsynligt, at den målrettede bankens pengeautomater er tilsluttet, da angriberne synes at være helt fortrolig med sine metoder og processer.
Udover disse specifikationer, den malware s angreb teknikker er som sædvanlig:
Fremgangsmåden for angreb, Ellers, er ligetil. Når maskinen er inficeret, malware fungerer sammen med bank program, så når det viser skærmen beder brugeren om deres konto sikkerhedskode, skærmen erstattes af malware. Denne kode er en to-faktor-autentificering metode almindeligt anvendt i Brasilien for at beskytte ATM og online transaktioner. Når brugeren indtaster denne kode, malwaren fanger den og gemmer den.
PRILEX ATM Malware Stjæler Kreditkort Detaljer
Det er også værd at bemærke, at PRILEX angreb ikke kun til formål at jackpot maskinen men også at stjæle brugeroplysninger såsom kreditkort-data. På grund af denne detalje, Forskerne mener, at uanset hvem der står bag disse operationer beskæftiger sig med hovedparten kreditkortoplysninger, og har en måde at tjene penge på dem effektivt. I betragtning af, at det har været en meget målrettet angreb, det er mere sandsynligt for denne malware til ikke anvendes andre steder.
PRILEX, dog, er et godt eksempel, at, som påpeget af Trend Micro, "enhver bank er underlagt deres metoder og processer analyseret af kriminelle og derefter senere misbrugt med meget målrettede angreb". Jackpotting angreb er meget farlige på deres egen måde, men en tavs angreb som dette kan gå uopdaget i meget lang tid, hvilket betyder, at hver bank bør gennemføre kvalitet overvågningsværktøjer og bevogtning teknikker.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: