Ngày 01 tháng 2 năm 2023Ravie LakshmananBảo mật thanh toán / Rủi ro
Các tác nhân đe dọa Brazil đứng sau phần mềm độc hại điểm bán hàng (PoS) tiên tiến và mô-đun được gọi là Prilex đã ngẩng cao đầu một lần nữa với các bản cập nhật mới cho phép nó chặn các giao dịch thanh toán không tiếp xúc.
Công ty an ninh mạng Kaspersky của Nga cho biết họ đã phát hiện ba phiên bản Prilex (06.03.8080, 06.03.8072 và 06.03.8070) có khả năng nhắm mục tiêu vào các thẻ tín dụng hỗ trợ NFC, nâng cao khả năng phạm tội của nó.
Đã phát triển từ phần mềm độc hại tập trung vào ATM thành phần mềm độc hại PoS trong nhiều năm kể từ khi đi vào hoạt động vào năm 2014, tác nhân đe dọa đã liên tục kết hợp các tính năng mới được thiết kế để tạo điều kiện gian lận thẻ tín dụng, bao gồm một kỹ thuật gọi là giao dịch GHOST.
Mặc dù thanh toán không tiếp xúc đã phát triển mạnh mẽ, một phần là do đại dịch COVID-19, nhưng động cơ cơ bản đằng sau chức năng mới là vô hiệu hóa tính năng này để buộc người dùng phải cắm thẻ vào bảng mã PIN.
Cuối cùng, phiên bản mới nhất của Prilex, mà Kaspersky đã phát hiện vào tháng 11 năm 2022, đã được phát hiện triển khai logic dựa trên quy tắc để xác định xem có thu thập thông tin thẻ tín dụng cùng với tùy chọn chặn các giao dịch dựa trên NFC hay không.
Các nhà nghiên cứu cho biết: “Điều này là do các giao dịch dựa trên NFC thường tạo ra một ID hoặc số thẻ duy nhất chỉ hợp lệ cho một giao dịch”.
Nếu một giao dịch dựa trên NFC như vậy bị phát hiện và chặn bởi phần mềm độc hại được cài đặt trên thiết bị đầu cuối PoS bị nhiễm, đầu đọc mã PIN sẽ hiển thị thông báo lỗi giả mạo: “Lỗi không tiếp xúc, hãy cắm thẻ của bạn.”
Điều này khiến nạn nhân sử dụng thẻ vật lý của họ bằng cách đưa nó vào đầu đọc mã PIN, cho phép những kẻ đe dọa thực hiện hành vi gian lận một cách hiệu quả. Một tính năng mới khác được thêm vào các tạo tác là khả năng lọc thẻ tín dụng theo phân khúc và quy tắc thủ công phù hợp với các cấp độ đó.
Các nhà nghiên cứu lưu ý: “Các quy tắc này chỉ có thể chặn NFC và thu thập dữ liệu thẻ nếu thẻ là Black/Infinite, Corporate hoặc cấp khác có giới hạn giao dịch cao, hấp dẫn hơn nhiều so với thẻ tín dụng tiêu chuẩn có số dư/giới hạn thấp”. .
“Vì dữ liệu giao dịch được tạo trong quá trình thanh toán không tiếp xúc là vô ích đối với tội phạm mạng, có thể hiểu rằng Prilex cần buộc nạn nhân cắm thẻ vào thiết bị đầu cuối PoS bị nhiễm.”
