Un point de vente notoire (PoS (s’ouvre dans un nouvel onglet)) les logiciels malveillants ont réapparu après une interruption d’un an et sont maintenant plus dangereux que jamais, selon les chercheurs.
Les experts de Kaspersky affirment avoir vu trois nouvelles versions du malware Prilex, qui est désormais doté de fonctionnalités avancées l’aidant à contourner les bloqueurs de fraude contemporains.
Kaspersky affirme que Prilex peut désormais générer des cryptogrammes EMV, une fonctionnalité introduite par Visa il y a trois ans pour valider les transactions et empêcher les paiements frauduleux.
Des adversaires habiles
EMV est utilisé par Europay, MasterCard et Visa (d’où le nom EMV), et de plus, les pirates peuvent utiliser le cryptogramme EMV pour exécuter des « transactions fantômes », même avec les cartes protégées par les technologies CHIP et PIN.
« Dans les attaques GHOST effectuées par les nouvelles versions de Prilex, il demande de nouveaux cryptogrammes EMV après avoir capturé la transaction », qui sont ensuite utilisés dans les transactions, a déclaré Kaspersky.
De plus, Prilex, qui a été repéré pour la première fois en 2014 en tant que malware réservé aux distributeurs automatiques de billets et est passé au PoS deux ans plus tard, est également livré avec certaines fonctionnalités de porte dérobée, telles que l’exécution de code, la fin de processus, la modification du registre, la capture de captures d’écran, etc. .
« Le groupe Prilex a montré un haut niveau de connaissances sur les transactions par carte de crédit et de débit, et sur le fonctionnement des logiciels utilisés pour le traitement des paiements », a ajouté Kaspersky. « Cela permet aux attaquants de continuer à mettre à jour leurs outils afin de trouver un moyen de contourner les politiques d’autorisation, leur permettant d’effectuer leurs attaques. »
Installation de logiciels malveillants sur les points de terminaison PoS (s’ouvre dans un nouvel onglet) n’est pas aussi facile, cependant. Les auteurs de menaces ont soit besoin d’un accès physique à l’appareil, soit ils doivent tromper les victimes pour qu’elles installent elles-mêmes le logiciel malveillant. Les attaquants usurpent généralement l’identité des techniciens du fournisseur de PoS, a déclaré Kaspersky, et affirment que l’appareil a besoin d’une mise à jour de son logiciel/micrologiciel.
Une fois le logiciel malveillant installé, les acteurs de la menace surveillent les transactions pour voir s’il y a suffisamment de volume pour valoir leur temps.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)