Analis keamanan telah mengamati tiga versi baru malware penargetan Prilex PoS tahun ini, yang menunjukkan bahwa pembuat dan operatornya kembali beraksi.
Prilex dimulai sebagai malware yang berfokus pada ATM pada tahun 2014 dan beralih ke perangkat PoS (point of sale) pada tahun 2016. Disaat pengembangan dan distribusi mencapai puncaknya pada tahun 2020, malware tersebut menghilang pada tahun 2021.
Analis Kaspersky sekarang melaporkan bahwa Prilex telah kembali, dan jeda operasional tahun lalu tampaknya menjadi jeda untuk fokus mengembangkan versi yang lebih canggih dan kuat.
Angsuran terbaru mampu menghasilkan kriptogram EMV (Europay, MasterCard, dan Visa), yang diperkenalkan pada tahun 2019 oleh VISA sebagai sistem validasi transaksi untuk membantu mendeteksi dan memblokir penipuan pembayaran.
Hal tersebut juga memungkinkan pelaku ancaman untuk menggunakan kriptogram EMV (pesan terenkripsi antara kartu dan pembaca yang berisi detail transaksi) untuk melakukan ‘transaksi GHOST’ bahkan menggunakan kartu kredit yang dilindungi dengan teknologi CHIP dan PIN.
Infeksi dimulai dengan email spear phishing yang menyamar sebagai teknisi dari vendor PoS, menuduh bahwa perusahaan perlu memperbarui perangkat lunak PoS-nya.
Selanjutnya, teknisi palsu mengunjungi lokasi target secara langsung dan menginstal pembaruan berbahaya di terminal PoS.
Atau, penyerang mengarahkan korban untuk menginstal alat akses jarak jauh AnyDesk di komputer mereka dan kemudian menggunakannya untuk mengganti firmware PoS dengan versi yang dicampur.
Setelah infeksi, operator akan mengevaluasi mesin untuk menentukan apakah target cukup produktif dalam hal volume transaksi keuangan atau tidak sepadan dengan waktu mereka.
Versi Prilex baru telah menambahkan pintu belakang untuk komunikasi, pencuri untuk mencegat semua pertukaran data, dan modul pengunggah untuk eksfiltrasi.
Modul pencurinya menggunakan pengait pada beberapa API Windows untuk mengintip saluran komunikasi antara bantalan PIN dan perangkat lunak PoS dan dapat memodifikasi konten transaksi, menangkap informasi kartu, dan meminta kriptogram EMV baru dari kartu.
Informasi yang diambil disimpan dalam bentuk terenkripsi secara lokal di komputer yang disusupi dan secara berkala diunggah ke server command and control (C2) malware melalui permintaan HTTP POST.
“Grup Prilex telah menunjukkan tingkat pengetahuan yang tinggi tentang transaksi kartu kredit dan debit, dan bagaimana perangkat lunak yang digunakan untuk pemrosesan pembayaran bekerja,” Kaspersky menyimpulkan.
“Ini memungkinkan penyerang untuk terus memperbarui alat mereka untuk menemukan cara untuk menghindari kebijakan otorisasi, memungkinkan mereka untuk melakukan serangan mereka.”
Sumber: Bleeping Computer
