{"id":389057,"date":"2022-09-29T14:07:25","date_gmt":"2022-09-29T16:07:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-prilex-bresiliens-refont-surface-avec-des-logiciels-malveillants-sophistiques-au-point-de-vente\/"},"modified":"2022-09-29T14:07:27","modified_gmt":"2022-09-29T16:07:27","slug":"les-pirates-prilex-bresiliens-refont-surface-avec-des-logiciels-malveillants-sophistiques-au-point-de-vente","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-prilex-bresiliens-refont-surface-avec-des-logiciels-malveillants-sophistiques-au-point-de-vente\/","title":{"rendered":"Les pirates Prilex br\u00e9siliens refont surface avec des logiciels malveillants sophistiqu\u00e9s au point de vente"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur mena\u00e7ant br\u00e9silien connu sous le nom de <strong>Prilex<\/strong> a refait surface apr\u00e8s une interruption op\u00e9rationnelle d&#8217;un an avec un malware avanc\u00e9 et complexe pour voler de l&#8217;argent au moyen de transactions frauduleuses.<\/p>\n<p>&#8220;Le groupe Prilex a montr\u00e9 un haut niveau de connaissances sur les transactions par carte de cr\u00e9dit et de d\u00e9bit, et sur le fonctionnement des logiciels utilis\u00e9s pour le traitement des paiements&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Kaspersky. <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/prilex-atm-pos-malware-evolution\/107551\/\" target=\"_blank\">a dit<\/a>.  &#8220;Cela permet aux attaquants de continuer \u00e0 mettre \u00e0 jour leurs outils afin de trouver un moyen de contourner les politiques d&#8217;autorisation, leur permettant d&#8217;effectuer leurs attaques.&#8221;<\/p>\n<p>Le groupe de cybercriminalit\u00e9 est apparu sur la sc\u00e8ne avec des attaques de logiciels malveillants ax\u00e9es sur les guichets automatiques dans la nation sud-am\u00e9ricaine, lui permettant de s&#8217;introduire dans les distributeurs automatiques de billets pour effectuer un jackpot &#8211; un type d&#8217;attaque visant \u00e0 distribuer de l&#8217;argent de mani\u00e8re ill\u00e9gitime &#8211; et cloner des milliers de cartes de cr\u00e9dit pour voler des fonds aupr\u00e8s des clients de la banque cibl\u00e9e.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Le modus operandi de Prilex au fil des ans a depuis \u00e9volu\u00e9 pour tirer parti des processus li\u00e9s aux logiciels de point de vente (PoS) pour intercepter et modifier les communications avec des appareils \u00e9lectroniques tels que <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/PIN_pad\" target=\"_blank\">Claviers NIP<\/a>qui sont utilis\u00e9s pour faciliter les paiements par carte de d\u00e9bit ou de cr\u00e9dit.<\/p>\n<p>Connus pour \u00eatre actifs depuis 2014, les op\u00e9rateurs sont \u00e9galement aptes \u00e0 r\u00e9aliser <a rel=\"nofollow noopener\" href=\"https:\/\/krebsonsecurity.com\/2014\/10\/replay-attacks-spoof-chip-card-charges\/\" target=\"_blank\">Attaques de relecture EMV<\/a> dans lequel le trafic provenant d&#8217;une transaction l\u00e9gitime par carte \u00e0 puce bas\u00e9e sur EMV est captur\u00e9 et rejou\u00e9 \u00e0 un processeur de paiement comme Mastercard, mais avec les champs de transaction modifi\u00e9s pour inclure les donn\u00e9es de carte vol\u00e9es.<\/p>\n<p>L&#8217;infection d&#8217;un ordinateur avec un logiciel PoS install\u00e9 est une attaque hautement cibl\u00e9e incorporant un \u00e9l\u00e9ment d&#8217;ing\u00e9nierie sociale qui permet \u00e0 l&#8217;auteur de la menace de d\u00e9ployer le logiciel malveillant.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"400\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1664467645_317_Les-pirates-Prilex-bresiliens-refont-surface-avec-des-logiciels-malveillants.jpg\" \/><\/div>\n<p>&#8220;Une entreprise cible peut recevoir un appel d&#8217;un&#8221; technicien &#8220;qui insiste sur le fait que l&#8217;entreprise doit mettre \u00e0 jour son logiciel PoS&#8221;, ont not\u00e9 les chercheurs.  &#8220;Le faux technicien peut visiter la cible en personne ou demander aux victimes d&#8217;installer AnyDesk et de fournir un acc\u00e8s \u00e0 distance au &#8220;technicien&#8221; pour installer le malware.&#8221;<\/p>\n<p>Les derniers versements rep\u00e9r\u00e9s en 2022 pr\u00e9sentent cependant une diff\u00e9rence cruciale dans la mesure o\u00f9 les attaques par rejeu ont \u00e9t\u00e9 remplac\u00e9es par une technique alternative pour retirer ill\u00e9galement des fonds \u00e0 l&#8217;aide de cryptogrammes g\u00e9n\u00e9r\u00e9s par la carte de la victime lors du processus de paiement en magasin.<\/p>\n<p>La m\u00e9thode, appel\u00e9e transactions GHOST, comprend un composant voleur qui r\u00e9cup\u00e8re toutes les communications entre le logiciel PoS et le clavier NIP utilis\u00e9 pour lire la carte pendant la transaction dans le but d&#8217;obtenir les informations de la carte.<\/p>\n<p>Celui-ci est ensuite transmis \u00e0 un serveur de commande et de contr\u00f4le (C2), permettant \u00e0 l&#8217;auteur de la menace d&#8217;effectuer des transactions via un dispositif PoS frauduleux enregistr\u00e9 au nom d&#8217;une fausse entreprise.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Maintenant, il convient de souligner que les cartes \u00e0 puce EMV utilisent ce qu&#8217;on appelle un cryptogramme pour s\u00e9curiser les donn\u00e9es du titulaire de la carte \u00e0 chaque fois qu&#8217;une transaction est effectu\u00e9e.  Ceci est fait afin de valider l&#8217;identit\u00e9 de la carte et l&#8217;approbation de l&#8217;\u00e9metteur de la carte, r\u00e9duisant ainsi le risque de transactions contrefaites.<\/p>\n<p>Alors que les versions pr\u00e9c\u00e9dentes de Prilex contournaient ces mesures de s\u00e9curit\u00e9 en surveillant la transaction en cours pour obtenir le cryptogramme et mener une attaque par relecture \u00e0 l&#8217;aide de la &#8220;signature&#8221; collect\u00e9e, l&#8217;attaque GHOST demande de nouveaux cryptogrammes EMV qui sont utilis\u00e9s pour terminer les transactions malveillantes.<\/p>\n<p>Un module de porte d\u00e9rob\u00e9e est \u00e9galement int\u00e9gr\u00e9 au logiciel malveillant, con\u00e7u pour d\u00e9boguer le comportement du logiciel PoS et apporter des modifications \u00e0 la vol\u00e9e.  D&#8217;autres commandes de porte d\u00e9rob\u00e9e l&#8217;autorisent \u00e0 mettre fin aux processus, \u00e0 d\u00e9marrer et \u00e0 arr\u00eater les captures d&#8217;\u00e9cran, \u00e0 t\u00e9l\u00e9charger des fichiers arbitraires \u00e0 partir du serveur C2 et \u00e0 ex\u00e9cuter des commandes \u00e0 l&#8217;aide de CMD.<\/p>\n<p>Prilex &#8220;traite directement avec le protocole mat\u00e9riel du clavier NIP au lieu d&#8217;utiliser des API de niveau sup\u00e9rieur, effectue des correctifs en temps r\u00e9el dans le logiciel cible, accroche les biblioth\u00e8ques du syst\u00e8me d&#8217;exploitation, perturbe les r\u00e9ponses, les communications et les ports, et passe d&#8217;une attaque bas\u00e9e sur la relecture pour g\u00e9n\u00e9rer cryptogrammes pour ses transactions GHOST, m\u00eame \u00e0 partir de cartes de cr\u00e9dit prot\u00e9g\u00e9es par la technologie CHIP et PIN \u00bb, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/brazilian-prilex-hackers-resurfaced.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur mena\u00e7ant br\u00e9silien connu sous le nom de Prilex a refait surface apr\u00e8s une interruption op\u00e9rationnelle d&#8217;un an avec un malware avanc\u00e9 et complexe pour voler de l&#8217;argent au moyen de transactions frauduleuses. &#8220;Le groupe Prilex a montr\u00e9 un haut niveau de connaissances sur les transactions par carte de cr\u00e9dit et de d\u00e9bit, et [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":389058,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[84,9112,4168,4158,4165,4161,133,4157,4159,4171,4170,65,4167,4589,4590,4160,4163,4162,4394,562,112893,59287,4172,4169,72430,4310,6287,4166,4164],"class_list":["post-389057","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-avec","tag-bresiliens","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-point","tag-prilex","tag-refont","tag-securite-informatique","tag-securite-internet","tag-sophistiques","tag-surface","tag-vente","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/389057","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=389057"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/389057\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/389058"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=389057"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=389057"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=389057"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}