Một điểm bán hàng khét tiếng (PoS (mở trong tab mới) ) phần mềm độc hại đã xuất hiện trở lại sau một năm gián đoạn và hiện nguy hiểm hơn bao giờ hết, các nhà nghiên cứu tuyên bố.
Các chuyên gia tại Kaspersky tuyên bố đã phát hiện ba phiên bản mới của phần mềm độc hại Prilex, hiện có các tính năng nâng cao giúp nó vượt qua các trình chặn lừa đảo hiện đại.
Kaspersky cho biết Prilex hiện có thể tạo ra các mật mã EMV, một tính năng mà Visa đã giới thiệu cách đây ba năm như một phương tiện xác thực các giao dịch và ngăn chặn các khoản thanh toán gian lận.
Đối thủ tài giỏi
EMV được Europay, MasterCard và Visa (do đó có tên EMV) sử dụng. Hơn nữa, những kẻ đe dọa có thể sử dụng mật mã EMV để chạy “giao dịch GHOST”, ngay cả với các thẻ được bảo vệ bởi công nghệ CHIP và PIN.
Kaspersky cho biết: “Trong các cuộc tấn công GHOST được thực hiện bởi các phiên bản Prilex mới hơn, nó yêu cầu các mật mã EMV mới sau khi nắm bắt được giao dịch”, sau đó chúng được sử dụng trong các giao dịch.
Hơn nữa, Prilex, lần đầu tiên được phát hiện vào năm 2014 dưới dạng phần mềm độc hại chỉ dành cho ATM và chuyển sang PoS hai năm sau đó, cũng đi kèm với một số tính năng cửa sau, chẳng hạn như chạy mã, chấm dứt quy trình, chỉnh sửa sổ đăng ký, chụp ảnh màn hình, v.v. .
Kaspersky cho biết thêm: “Nhóm Prilex đã thể hiện mức độ hiểu biết cao về các giao dịch thẻ tín dụng và thẻ ghi nợ cũng như cách thức hoạt động của phần mềm được sử dụng để xử lý thanh toán”. “Điều này cho phép những kẻ tấn công tiếp tục cập nhật các công cụ của chúng để tìm cách phá vỡ các chính sách ủy quyền, cho phép chúng thực hiện các cuộc tấn công của mình.”
Cài đặt phần mềm độc hại trên điểm cuối PoS (mở trong tab mới) Tuy nhiên, điều này không dễ dàng như vậy. Những kẻ đe dọa cần có quyền truy cập vật lý vào thiết bị hoặc chúng cần lừa nạn nhân tự cài đặt phần mềm độc hại. Kaspersky cho biết những kẻ tấn công thường mạo danh các kỹ thuật viên của nhà cung cấp PoS và tuyên bố rằng thiết bị cần được cập nhật phần mềm/chương trình cơ sở.
Sau khi phần mềm độc hại được cài đặt, kẻ tấn công sẽ theo dõi các giao dịch để xem liệu có đủ khối lượng đáng để chúng mất thời gian hay không.
Via: BleepingComputer (mở trong tab mới)