巴西黑客Prilex重新浮出水面

一个名为Prilex的巴西黑客在经历了长达一年的业务中断后，重新使用了先进和复杂的恶意软件，以欺诈交易的方式盗取资金。

卡巴斯基的研究人员说，Prilex对信用卡和借记卡交易以及支付处理软件的运作有很高的了解。这导致攻击者能够不断更新他们的工具，找到绕过授权策略的方法，然后就能执行攻击。

该网络犯罪集团在南美洲国家开展袭击，以ATM为重点，使其能够闯入ATM机进行劫持——非法发放现金——并克隆数以千计的信用卡，从目标银行的客户盗取资金。

多年来，Prilex的工作方式一直在发展，以利用与销售点( PoS )软件有关的过程来拦截和修改与PIN垫等电子设备的通信，这些设备用于使用借记卡或信用卡支付。

众所周知，自2014年以来，运营商也善于进行EMV重放攻击，其中合法的基于EMV的芯片卡交易的流量被捕获并重放到一个支付处理器，如万事达卡，但交易字段被修改为包括被盗卡数据。

用安装的PoS软件感染计算机是一种高度有针对性的攻击，它包含了一个社会工程元素，允许威胁行为者部署恶意软件。

研究人员指出，目标企业可能会接到”技术人员”的电话，他们坚持认为公司需要更新其PoS软件。假技术员可以亲自访问目标，或要求受害者安装AnyDesk，并为”技术员”安装恶意软件提供远程访问。

在2022年发现的最新一期中，一个重要的区别是，重放攻击被一种替代技术所取代，即在商店付款过程中使用受害者卡所产生的密码来非法兑现资金。

该方法称为GHOST事务，包含一个窃取器组件，该组件在事务期间捕获PoS软件和用于读卡的PIN板之间的所有通信，以获取卡片信息。

这随后传输到总量控制( C2 )服务器，允许威胁行为者通过以名义注册的欺诈性PoS设备进行交易

现在，值得指出的是，EMV芯片卡在每次交易时都使用所谓的密码来保护持卡人的数据。这样做的目的是为了验证卡的身份和发卡机构的批准，从而降低假冒交易的风险。

虽然之前版本的Prilex通过监视正在进行的交易来获取密码并使用收集到的”签名”进行重放攻击来规避这些安全措施，但是GHOST攻击请求使用新的EMV密码来完成流氓交易。

研究人员称，Prilex正在”直接处理PIN垫硬件协议，而不是使用更高级别的API，在目标软件中进行实时修补，挂接操作系统库，处理回复、通信和端口，并从基于重放的攻击中切换，甚至从使用CHIP和PIN技术保护的信用卡中生成GHOST交易的密码。”