Compartir

El malware facilita los ataques “fantasmas” que utilizan la clave de autenticación de las tarjetas de crédito de las víctimas.

 

Kaspersky descubrió que Prilex, un conocido y peligroso agente de amenazas dirigidas a la industria de pagos, desarrolló una nueva estrategia, basada en ingeniería social, que tiene como objetivo las terminales de punto de venta (TPV).

El grupo de ciberdelincuentes detrás de este malware opera desde 2014 y, presuntamente, fue responsable de uno de los mayores ataques realizados a cajeros automáticos en Brasil en 2016, donde se clonaron más de 28,000 tarjetas de crédito y vaciaron más de 1,000 cajeros automáticos de un banco local. El daño del incidente se estimó en millones de dólares.

En México, de acuerdo con la Comisión Nacional Bancaria y de Valores, tres de cada cuatro personas utilizaron su tarjeta de crédito regularmente para realizar compras o pagos en 2021. Tan solo en el primer trimestre de 2022 se realizaron más de 220 millones de operaciones con tarjeta de crédito en terminales punto de venta con un valor de más de 200 mil millones de pesos, según datos del Banco de México.

Con Prilex los criminales obtienen datos de cientos de tarjetas diariamente, por lo que garantizar la seguridad del sistema de pagos es fundamental para la protección de las empresas, los consumidores y la industria, en general.

¿Cómo ocurre el ataque?

  1. Los ciberdelincuentes seleccionan el establecimiento víctima.
  2. Llaman al propietario de la empresa o a sus empleados con el pretexto de que un técnico debe actualizar el software de su terminal punto de venta.
  3. Al aceptar, el técnico falso visita la empresa e infecta las máquinas con software malicioso. (También se han registrado casos donde la instalación del malware sucede vía remota).
  4. Previo al ataque, realizan un análisis de la terminal punto de venta del establecimiento para verificar si cuenta con un mínimo de transacciones con tarjetas de crédito.
  5. Si el malware percibe que hay pocas transacciones en el establecimiento, se cancela la estafa y el grupo buscará una nueva víctima.
  6. En cambio, si es viable, analizan nuevamente el equipo a fin de encontrar el mejor escondite para el malware donde ningún antivirus lo identifique.
  7. El software instalado cambia el proceso de pago en las terminales. Cuando el cliente paga con su tarjeta de crédito, el primer ingreso de su contraseña es controlado por el malware que roba la clave de autenticación generada en la primera transacción.
  8. Al robarla, simulará un error para pedir nuevamente al cliente que introduzca su contraseña y completar el pago. Ni el consumidor ni el establecimiento saben que están siendo víctimas de un fraude.
Datos de la tarjeta de crédito capturados que luego se enviarán al servidor del operador.

Actualmente, Prilex se vende en la Darknet como Malware como servicio (MaaS), por lo que las versiones más sofisticadas y peligrosas de éste podrían propagarse a varios países, junto con el riesgo para empresas o entidades financieras en el mundo de perder millones de dólares[1].

El esquema de los ataques de Prilex.
El esquema de los ataques de Prilex.
“En las películas los ladrones entran a un banco con un arma en la mano, vacían la caja registradora y huyen llevándose una enorme bolsa de dinero. En el mundo real, estos robos ocurren de manera diferente. Hoy en día, los delincuentes son muy sigilosos: suelen atacar a distancia mediante malware sin ningún contacto físico. Esto los hace más difíciles de detectar, y hasta que los cajeros automáticos y puntos de venta no estén lo suficientemente protegidos y actualizados, la cantidad de amenazas e incidentes solo aumentará”, comenta Assolini.

La familia Prilex es detectada como HEUR:Trojan.Win32.Prilex HEUR:Trojan.Win64.Prilex por todos los productos de Kaspersky

Los detalles técnicos e índices de compromiso de esta amenaza están disponibles para todas las instituciones con acceso al Portal de Inteligencia de Amenazas de Kaspersky. Lea el informe completo sobre Prilex en Securelist.

Para protegerse contra este malware, Kaspersky recomienda:

  • Utilizar una solución multi-capa que ofrezca niveles óptimos de protección para proporcionar el mejor grado de seguridad posible en dispositivos de diferente potencia y con diferentes escenarios de implementación.
  • Implementar técnicas de autoprotección en los módulos TPV, como la que se encuentra disponible en Kaspersky SDK, con el objetivo de evitar que el código malicioso altere las transacciones que manejan esos módulos.
  • Proteger a los sistemas más antiguos con una solución actualizada. Las soluciones deben optimizarse para que operen con todas sus funciones en las versiones anteriores de Windows, así como en las más nuevas de este sistema operativo. Esto asegura a la empresa que contará con un apoyo total para las versiones anteriores en el futuro previsible y le brinda la oportunidad de actualizar a una nueva versión cuando sea necesario.
  • Instalar una solución de seguridad, como Kaspersky Embedded Systems Security, que protege los dispositivos contra diferentes vectores de ataque. Aun si el sistema del dispositivo tuviera especificaciones extremadamente bajas, la solución de Kaspersky lo protegería con un escenario de Denegación predeterminada.
  • Para las instituciones financieras que son víctimas de este tipo de fraude, Kaspersky recomienda Threat Attribution Engine para ayudar a los equipos de RI a buscar y detectar archivos Prilex en los entornos que son atacados.

[1] El monto de la pérdida está sujeto a la legislación local y del acuerdo entre el(los) establecimiento(s) comercial(es) y/o la(s) institución(es) financiera(s) y el titular de la tarjeta de crédito afectada.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compañía incluye una protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky y ayudamos a 240,000 clientes corporativos a proteger lo que más valoran. Obtenga más información en http://latam.kaspersky.com

 

Compartir