كشفت كاسبرسكي عن ثلاثة نسخ جديدة من برمجية Prilex الخبيثة التي صنعتها مجموعة من مجرمي الإنترنت سُميت باسم البرمجية الخبيثة المتطورة التي استهدفت نقاط البيع في عام 2022. وبوسع النسخ الجديدة المكتشفة منع تقنية الاتصال قريب المدى (NFC) التي تُستخدم في إجراء المدفوعات اللاتلامسية على نقاط البيع المصابة، ما يُجبر العملاء على استخدام بطاقات الائتمان البلاستيكية في عمليات السداد، ويمكّن مجرمي الإنترنت بالتالي من سرقة أموالهم. وبينما ينشط استخدام Prilex حالياً في أمريكا اللاتينية، فمن الوارد أن يتسع نطاق استخدامها ليصل إلى منطقة الشرق الأوسط وتركيا وإفريقيا في الأشهر المقبلة.
وتطوّرت العصابة Prilex سيئة السمعة تدريجياً من استخدام البرمجيات الخبيثة التي تركز على أجهزة الصراف الآلي إلى البرمجيات الخبيثة التي تستهدف نقاط البيع، وتُعدّ البرمجيات الأكثر تقدماً المكتشفة حتى الآن. كانت كاسبرسكي في عام 2022 أطلقت وصف “الشبحية” (GHOST) على هجمات Prilex التي تحتال على معاملات بطاقة الائتمان، حتى البطاقات المحمية بتقنية CHIP وPIN التي يُزعم بأنها غير قابلة للاختراق. أما الآن، فقد ذهبت العصابة وبرمجياتها إلى أبعد من ذلك، بحسب خبراء الأمن الذين تساءلوا عما إذا كانت Prilex قادرة على التقاط البيانات الواردة من بطاقات الائتمان التي تدعم تقنية NFC. واكتشف باحثو كاسبرسكي، أثناء الاستجابة حديثاً لحادث وقع مع عميل أصيب بـ Prilex، ثلاثة نسخ جديدة قادرة على منع معاملات المدفوعات اللاتلامسية (الدفع من دون تلامس) التي راجت كثيراً أثناء الجائحة وبعدها.
وتتسم أنظمة المدفوعات اللاتلامسية، مثل بطاقات الائتمان والخصم المباشر ومفاتيح الدخول اللاسلكية والأجهزة الذكية الأخرى كالأجهزة المحمولة، كونها تشمل تقنية تعريف التردّد اللاسلكي (RFID). في الآونة الأخيرة، قامت تطبيقات Samsung Pay وApple Pay وGoogle Pay وFitbit Pay، والتطبيقات المصرفية، بتنفيذ تقنية NFC لدعم المعاملات الآمنة وإجرائها بلا تلامس.
وتقدّم البطاقات المصرفية اللاتلامسية طريقة مريحة وآمنة لإجراء المدفوعات من دون الحاجة إلى إدخال البطاقة في جهاز نقطة البيع أو تمريرها فيه، لكن Prilex استطاعت أن تأتي بطريقة تمنع هذه المعاملات من خلال تنفيذ مشروط لملف يحدد ما إذا كان سيتم الحصول على معلومات بطاقة الائتمان أم لا، مع اشتماله على خيار حظر المعاملات القائمة على تقنية NFC.
ونظراً لأن المعاملات المستندة على NFC تنشئ رقم بطاقة فريداً وصالحاً لمعاملة واحدة فقط، فإن Prilex إذا اكتشف معاملة تستند على NFC وحظرها، ستُظهر لوحة PIN الرسالة التالية:
ويهدف المجرمون من ذلك إلى إجبار الضحية على استخدام بطاقته البلاستيكية عن طريق إدخالها في قارئ لوحة PIN، حيث يمكن للبرمجية الخبيثة التقاط البيانات الواردة من المعاملة، باستخدام كل الطرق المتاحة لدى Prilex، مثل التلاعب بالرموز السرية لتنفيذ هجمات GHOST. وأضيفت ميزة جديدة أخرى إلى أحدث عينات Prilex، تتمثل في إمكانية فلترة بطاقات الائتمان وفقاً لفئاتها، وإنشاء قواعد مختلفة لكل فئة. فمثلاً، يمكن حظر NFC والتقاط بيانات البطاقة، فقط إذا كانت البطاقة من فئة Black أو Infinite، أو مؤسسية أو غيرها بحد ائتمان مرتفع للمعاملات، وهي الفئة الأكثر جاذبية من فئات بطاقات الائتمان القياسية ذات الرصيد أو الحد المنخفض.
وتنشط عصابة Prilex في أمريكا اللاتينية منذ عام 2014، ويُزعم أنها كانت تقف وراء واحدة من أكبر الهجمات التي شُنّت في القارة. فخلال كرنفال ريو في عام 2016، استنسخت العصابة أكثر من 28,000 بطاقة ائتمان وسرقت أكثر من 1,000 جهاز صراف آلي تابعة للبنوك البرازيلية. ووسعت العصابة هجماتها على مستوى العالم، حيث رصدت في ألمانيا في 2019 عندما قامت عصابة إجرامية باستنساخ بطاقات الخصم المباشر من “ماستركارد” Mastercard الصادرة عن بنك OLB الألماني، وسحبت أكثر من 1.5 مليون يورو من حوالي 2,000 عميل. أما النسخ المعدلة المكتشفة حديثاً، فكانت في البرازيل، لكنها قد تنتشر إلى دول ومناطق أخرى، بينها الشرق الأوسط وتركيا وإفريقيا في الأشهر المقبلة.
وقال فابيو أسوليني رئيس فريق البحث والتحليل العالمي في أمريكا اللاتينية لدى كاسبرسكي، إن المدفوعات اللاتلامسية غدت جزءاً من الحياة اليومية للأفراد، مشيراً إلى أن الإحصائيات تُظهر أن قطاع التجزئة سيطر على السوق بحصة تزيد على 59% من إيرادات المعاملات اللاتلامسية في عام 2021. وأضاف: “تتسم هذه المعاملات بالراحة والأمان، لذا فمن المنطقي أن يُنشئ مجرمو الإنترنت برمجيات خبيثة تعيق عمل الأجهزة التي تستخدم تقنية NFC. ونظراً لأن بيانات المعاملات التي تُنشأ أثناء الدفع بلا تلامس تظلّ غير مجدية من منظور Prilex، فإنها ستحرص على منع هذه المعاملات لإجبار الضحايا على إدخال البطاقة نفسها في جهاز نقطة البيع المصاب”.
يمكن الاطلاع على المزيد عن نسخ البرمجيات الخبيثة المعدلة الجديدة Prilex PoS على Securelist.
وتوصي كاسبرسكي المستخدمين باتباع ما يلي لحماية أنفسهم من Prilex:
- تطبيق الحلّ Kaspersky SDK في وحدات نقاط البيع لمنع البرمجيات الخبيثة من العبث بالمعاملات التي تديرها تلك الوحدات.
- تأمين الأنظمة الأقدم بحلول الحماية المحدَّثة، ليتم تحسينها وجعلها قادرة على تشغيل الإصدارات القديمة من ويندوز Windows وأحدث باقات مايكروسوفت Microsoft بوظائفها الكاملة، ما يضمن حصول المؤسسات في المستقبل المنظور على الدعم الكامل لبرمجيات مايكروسوفت الأقدم، ويمنحها فرصة الترقية في أي وقت تحتاج إليه.
- تثبيت حل أمني مثل Kaspersky Embedded Systems Security يحمي الأجهزة من نواقل الهجوم المختلفة. وإذا كان للجهاز مواصفات نظام منخفضة للغاية، فسيظل حل كاسبرسكي قادراً على حمايته بسيناريو الرفض الافتراضي.
- توصي كاسبرسكي المؤسسات المالية التي تقع ضحية لهذا النوع من الاحتيال باستخدام Threat Attribution Engine لمساعدة فرق الاستجابة للحوادث على العثور على ملفات Prilex واكتشافها في الأنظمة التي تعرضت للهجوم.