Обновленный вирус Prilex нацелился на POS-терминалы

Специалисты Лаборатории Касперского выявили новые версии вируса Prilex, который теперь ориентирован на заражение не банкоматов, а POS-терминалов.

Бразильский вирус для банкоматов Prilex теперь злоумышленники превратили в модульное вредоносное ПО для торговых точек, оснащенных POS-терминалами. Этот вирус стояла за одной из крупнейших в 2024 году атак на бразильские банкоматы, заразив и взломав более 1000 ATM, а также клонировав более 28 000 кредитных карт, которые использовались в зараженных банкоматах.

Создатели вирусного ПО решили отказаться от вредоносных программ для банкоматов и сосредоточить все свои атаки на POS системах. Хакеры владеют широкими знаниями о рынке платежей, а также о программном обеспечении и протоколах электронных переводов. Они быстро внедрили модель «вредоносное ПО как услуга» и расширили свое присутствие за рубежом, создав набор инструментов, который включал в себя бэкдоры и загрузчики.

Последняя версия Prilex умеет генерировать криптограммы EMV, систему проверки транзакций, позволяющую обнаруживать и блокировать мошенничество с платежами. EMV представляет из себя систему зашифрованных сообщений между картой и ридером, содержащие детали транзакции. Это позволяет хакерам использовать EMV для выполнения «фантомных транзакций» с любым типом карт.

Заражение осуществляется с фишингового e-mail письма от лица технического специалиста поставщика POS оборудования. В письме рекомендуется обновить ПО POS-терминала. Далее злоумышленники посещает место установки терминала и устанавливает вредоносное обновление на POS-терминал.