Kasperskyによると、Prilexはブラジルの脅威アクターであり、2014年にATM関連のマルウェアとして活動を開始し、後にモジュール型のPOSマルウェアへと移行しました。この脅威アクターは、ブラジルのATMに対する最大規模の攻撃の一つに関与し、1,000台以上のATMに感染してジャックポット攻撃を行い、ATMで使用されていた28,000枚以上のクレジットカードを複製しました。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
Prilex は決済市場、電子送金ソフトウェアおよびプロトコルに特に精通しており、脅威アクターは最近 POS マルウェアを更新して非接触型トランザクションをブロックし、クレジットカード情報を盗むようになりました。
ジャンプ先:
- 最新のPrilexマルウェアの新機能
- POS マルウェア感染はどのように機能しますか?
- この脅威から組織を守る方法
最新のPrilexマルウェアの新機能
非接触型決済は、特にCOVID-19パンデミック以降、人々ができるだけ公共の場に触れたいと考えるようになったことで、驚くほど普及しました。このような決済では、クレジットカードを決済端末(通常はPOS端末)に非常に近づける必要があります。
非接触型決済は通常の決済とは異なりPOS端末で処理されないため、サイバー犯罪者がシステムを悪用して不正利用することは不可能です。その結果、サイバー犯罪者のPOSマルウェアが悪用可能な取引数は大幅に減少しました。
Prilexマルウェアの開発者たちは、この問題に対処する方法を発見しました。マルウェアは、非接触型決済が行われると、それをブロックします。すると、PINパッドがユーザーに非接触型決済エラーを通知し、クレジットカードを挿入して決済を行う必要があることを伝えます。被害者がカードで決済を行うと、Prilexはゴーストトランザクション詐欺を実行できるようになります。
GHOSTトランザクションでは、マルウェアはデバイスに潜伏し、POSソフトウェアとPINパッド間のすべての通信を傍受します。トランザクションが開始されると、マルウェアはトランザクションの内容を傍受して改ざんし、クレジットカード情報を取得し、被害者のカードに新しいEMV暗号を要求します。この新しいEMV暗号により、攻撃者は自身のPOSデバイスから新たな不正トランザクションを開始できるようになります(図A)。
図A
POS マルウェア感染はどのように機能しますか?
POSマルウェアは、一般的なマルウェアとは異なります。開発には、決済市場全体、そしてそのプロトコル、ツール、そして導入に関する深い理解が必要です。このようなマルウェアは通常のエンドポイントでは機能しないため、POSソフトウェアを実際に実行し、決済処理を行っているコンピューター上で実行する必要があります。
高度なPOSマルウェアを仕掛けるサイバー犯罪者は、フィッシングメールを送信するだけではコンピュータに感染させることができません。特定の人物を標的にし、ソーシャルエンジニアリングの手法を用いて、正規のリモートデスクトップアプリケーションをインストールさせ、感染させる必要があります。そのため、詐欺師は正規のPOSソフトウェアを更新する必要がある技術者を装うことが多いのです。
この脅威から組織を守る方法
エンドユーザーは、制御できない感染デバイス上で発生する脅威に対して何もできません。すべての保護はPOSソフトウェアの管理者が行う必要があります。
POSシステムを利用する企業は、ソーシャルエンジニアリング詐欺を回避するために、POSプロバイダーと詳細な手順を確立する必要があります。POSソフトウェアの顧客とPOSソフトウェアプロバイダー間のすべてのやり取りは、安全なチャネルを介して協議され、POSソフトウェアが稼働しているデバイスにアクセスできるすべての人に周知されるべき特定のルールに従う必要があります。サイバー犯罪者がPOSソフトウェアプロバイダーの従業員を装って電話をかけてきた場合、これにより、サイバー犯罪者を即座に発見できるようになります。
POSソフトウェアを実行しているすべてのデバイスにセキュリティソリューションを導入し、マルウェア感染の検出に努める必要があります。感染したPOSデバイスから攻撃者が所有するC2サーバーに情報が送信されるため、マルウェアとC2サーバー間の通信である可能性のある不審なアクティビティを検出するために、ネットワーク通信も監視する必要があります。
最後に、一般的な脆弱性による侵害を回避するために、すべてのソフトウェアとオペレーティング システムを常に最新の状態に保ち、パッチを適用する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
