Les pirates brésiliens à l’origine d’un logiciel malveillant de point de vente (PoS) avancé et modulaire connu sous le nom de Prilex ont de nouveau fait leur apparition avec de nouvelles mises à jour qui lui permettent de bloquer les transactions de paiement sans contact.
La société russe de cybersécurité Kaspersky m’a dit il a détecté trois versions de Prilex (06.03.8080, 06.03.8072 et 06.03.8070) capables de cibler les cartes de crédit compatibles NFC, élevant ainsi son système criminel d’un cran.
Après être passé d’un logiciel malveillant axé sur les guichets automatiques à un logiciel malveillant PoS au fil des ans depuis sa mise en service en 2014, l’acteur de la menace a progressivement intégré de nouvelles fonctionnalités conçues pour faciliter la fraude par carte de crédit, y compris une technique appelée transactions GHOST.
Alors que les paiements sans contact ont pris un essor considérable, en partie à cause de la pandémie de COVID-19, le motif sous-jacent de la nouvelle fonctionnalité est de désactiver la fonctionnalité afin de forcer l’utilisateur à insérer la carte dans le clavier NIP.
À cette fin, la dernière version de Prilex, que Kaspersky a découverte en novembre 2022, s’est avérée implémenter une logique basée sur des règles pour déterminer s’il faut ou non capturer les informations de carte de crédit avec une option pour bloquer les transactions basées sur NFC.
« Cela est dû au fait que les transactions basées sur NFC génèrent souvent un identifiant unique ou un numéro de carte valable pour une seule transaction », ont déclaré les chercheurs.
Si une telle transaction basée sur NFC est détectée et bloquée par le logiciel malveillant installé sur le terminal de point de vente infecté, le lecteur de clavier NIP affiche un faux message d’erreur : « Erreur sans contact, insérez votre carte ».
Cela conduit la victime à utiliser sa carte physique en l’insérant dans le lecteur de clavier PIN, permettant ainsi aux pirates de commettre une fraude. Une autre nouvelle fonctionnalité ajoutée aux artefacts est la possibilité de filtrer les cartes de crédit par segments et de créer des règles adaptées à ces niveaux.
« Ces règles peuvent bloquer NFC et capturer les données de la carte uniquement si la carte est une Black/Infinite, Corporate ou un autre niveau avec une limite de transaction élevée, ce qui est beaucoup plus attrayant que les cartes de crédit standard avec un solde/limite faible », ont noté les chercheurs. .
« Étant donné que les données de transaction générées lors d’un paiement sans contact sont inutiles du point de vue d’un cybercriminel, il est compréhensible que Prilex doive forcer les victimes à insérer la carte dans le terminal PoS infecté. »