Les auteurs du logiciel malveillant PoS Prolex ont étendu leur code malveillant pour attaquer les transactions par carte de crédit sans contact.

Les attaquants à l’origine du malware sophistiqué pour point de vente (PoS) Pilex ont amélioré leur capacité à bloquer les transactions de paiement sans contact.

Les chercheurs de Kaspersky Lab ont découvert trois nouvelles versions de logiciels malveillants PoS conçus pour attaquer les cartes de crédit à l’aide de la technologie NFC.

„Une question fréquemment posée concernant cette menace était de savoir si Prerex pouvait collecter des données à partir de cartes de crédit compatibles NFC. Nous avons pu découvrir trois nouvelles versions de Prix capables de bloquer les transactions de paiement sans contact devenues très populaires aux États-Unis”, lire une analyse publiée par Kaspersky. Prilex est un logiciel malveillant modulaire. Les chercheurs de Kaspersky pensent en fait qu’il s’agit de la menace PoS la plus avancée qu’ils aient vue à ce jour. Le logiciel malveillant utilise un schéma de cryptage unique qui lui permet de corriger le logiciel cible en temps réel. De forcer les rétrogradations de protocole, de manipuler les cryptogrammes, d’effectuer des transactions GHOST et d’effectuer des fraudes par carte de crédit. Cela fonctionne également sur les cartes à puce avec la technologie CHIP et PIN.

Un code malveillant peut désactiver la fonction de paiement sans contact et obliger l’utilisateur à insérer la carte dans le clavier NIP.

Une version repérée par des experts en novembre 2022 implémente un fichier basé sur des règles qui spécifie s’il faut collecter des informations de carte de crédit. Ainsi qu’une option pour bloquer les transactions basées sur NFC.

Les experts ont souligné que les transactions NFC génèrent souvent un identifiant ou un numéro de carte unique, valable pour une seule transaction. Lorsque Prilex détecte une transaction basée sur la technologie NFC, le malware PoS la bloque et le logiciel EFT affiche un message d’erreur (par exemple „Erreur sans contact, insérez votre carte”) sur le clavier NIP, demandant à l’utilisateur d’insérer sa carte dans le lecteur du clavier.

„Bien sûr, l’objectif ici est de forcer la victime à utiliser sa carte physique en l’insérant dans le lecteur du PIN pad, de sorte que le malware pourra capturer les données provenant de la transaction en utilisant toutes les techniques décrites dans notre précédente publication, telles que la manipulation des cryptogrammes et l’exécution d’une attaque GHOST”, poursuit le rapport.

La nouvelle version du malware PoS est également capable de filtrer les cartes de crédit en fonction du segment et de créer des règles différentes pour chaque segment. Le malware peut être chargé de bloquer les transactions basées sur la technologie NFC uniquement si la carte est une Black/Infinite, Corporate ou un autre niveau avec une limite de transaction élevée. „Étant donné que les données de transaction générées par les paiements sans contact sont inutiles du point de vue d’un cybercriminel. Il est logique que Prix doive forcer les victimes à insérer leurs cartes dans des terminaux de point de vente infectés. Alors que le groupe cherche des moyens de frauder en utilisant des numéros de carte de crédit uniques. Cette astuce astucieuse leur permettra de poursuivre leurs opérations », conclut Kaspersky.

Suivez nous sur Facebook, Instagram, Tiktok

Revenir au blog