Zagrożenie to występuje obecnie w Ameryce Łacińskiej i jest znane ze swojego przyjaznego dla przestępców modelu biznesowego, który sprawia, że przeprowadzenie ataków staje się niepokojąco proste. Wykorzystywanie płatniczych kart czipowych chronionych za pomocą numeru PIN rozpowszechniło się na całym świecie w ciągu ostatniej dekady, co nieuchronnie zwróciło uwagę cyberprzestępców. Badacze z Kaspersky Lab monitorujący cyberprzestępczość finansową w Ameryce Łacińskiej odkryli, że szkodliwe oprogramowanie Prilex ewoluowało i potrafi teraz atakować tę technologię.

Szkodliwe oprogramowanie Prilex jest aktywne od 2014 r. Badacze obserwowali jego ewolucję od ataków na bankomaty poprzez ataki na systemy POS projektowane przez brazylijskich producentów, po mające obecnie miejsce wykorzystywanie skradzionych informacji dotyczących kart kredytowych w celu stworzenia funkcjonalnych kart płatniczych. Dzięki nim przestępca może przeprowadzić oszukańcze transakcje w każdym sklepie, zarówno online, jak i tradycyjnym. Badacze po raz pierwszy zidentyfikowali na wolności tego typu pełny zestaw narzędzi do przeprowadzania oszustw. Sklonowana karta kredytowa działa w każdym systemie w Brazylii z powodu błędnej implementacji standardu EMV, która oznacza, że nie wszystkie dane są weryfikowane w procesie zatwierdzania płatności.

Z technicznego punktu widzenia Prilex składa się z trzech komponentów: szkodliwego oprogramowania, które modyfikuje system POS i przechwytuje informacje dotyczące karty kredytowej; serwera wykorzystywanego do zarządzania nielegalnie uzyskanymi informacjami; oraz aplikacji użytkownika, za pomocą której „klient” szkodliwego oprogramowania może przeglądać, klonować i zapisywać dane statystyczne dotyczące kart (np. ile pieniędzy skradziono przy użyciu danej karty). Najistotniejszą funkcją omawianego szkodliwego oprogramowania jest związany z nim model biznesowy, w którym uwzględniane są wszystkie potrzeby szkodliwych użytkowników, w tym potrzeba prostego i przyjaznego interfejsu.

Dowody wskazują, że szkodnik jest rozprzestrzeniany przy użyciu poczty tradycyjnej, za pośrednictwem której potencjalne ofiary są nakłaniane do udzielenia przestępcom dostępu do swojego komputera w celu przeprowadzenia sesji zdalnej pomocy, która jest następnie wykorzystywana do zainstalowania szkodliwego oprogramowania. Jak dotąd większość ofiar to tradycyjne sklepy takie jak stacje benzynowe, supermarkety oraz typowe sklepy detaliczne – wszystkie zlokalizowane w Brazylii.

Autor: Piotr Kupczyk, Kaspersky Lab Polska