Los investigadores en ciberseguridad descubrieron que las amenazas provocadas por el malware Prilex, famoso por robar millones de dólares de bancos, han evolucionado sustancialmente. Un reciente informe realizado por la firma Kaspersky señala que, luego de desarrollar tanto sus innovaciones técnicas como sus estrategias comerciales y de marketing, Prilex ha mejorado sus herramientas.
Lo hace desde un simple raspador de memoria hasta un malware avanzado y complejo. Ahora tiene como objetivo a las terminales modulares de punto de venta (TPV). Los ciberdelincuentes están vendiendo activamente su malware en la ‘dark web’ como un malware de tipo servicio (MaaS). Lo que significa que ahora está disponible para otros estafadores. Esto aumenta potencialmente el riesgo de pérdida de dinero para las empresas de todo el mundo.
Este virus se conoce por atacar al núcleo de la industria de pagos como los cajeros automáticos (ATM) y las terminales de punto de venta. El malware está activo desde 2014. Según los expertos, estuvo detrás de uno de los mayores ataques realizados a cajeros automáticos en Brasil en 2016. El agente clonó más de 28 000 tarjetas de crédito y vació más de 1 000 cajeros automáticos de uno de los bancos brasileños.
Desde entonces, los ciberdelincuentes han mejorado el malware, convirtiéndolo en una amenaza compleja que evoluciona rápidamente y tiene un gran impacto en la cadena de pagos. Ahora, el agente de amenazas Prilex lleva a cabo los llamados ataques “fantasmas. Transacciones fraudulentas que utilizan la clave de autenticación (criptogramas), previamente generada por la tarjeta de la víctima durante el proceso de pago en un establecimiento.
Las infecciones iniciales de las terminales de punto de venta generalmente se realizan a través de la ingeniería social. Después de elegir un objetivo, los ciberdelincuentes llaman al propietario de la empresa o a sus empleados con el pretexto de que un técnico debe actualizar el software del TPV.
Al aceptar, el técnico falso llega personalmente a la empresa e infecta las máquinas con software malicioso. También se han registrado escenarios donde los estafadores solicitan al objetivo instalar AnyDesk para que un técnico pueda actualizar el sistema a distancia. Lo que facilita la instalación del malware de manera remota.
¿Cómo funciona el malware?
El esquema funciona de la siguiente manera. Una vez infectado el sistema de pago, Prilex cambia el proceso de las máquinas que se conectan a la terminal infectada. De esta forma, cuando el cliente está pagando por su compra en el establecimiento con su tarjeta de crédito, el primer ingreso de su contraseña es controlado por el malware para robar la clave de autenticación (llamada criptograma). Siempre se genera en la primera transacción del cliente.
Al robarla, Prilex simulará un error en la transacción para poder pedirle al cliente que introduzca de nuevo la contraseña para completar el pago “normalmente”. Ni el consumidor ni el establecimiento se dan cuenta de que se ha producido el fraude.
Es importante señalar que, antes del ataque, los ciberdelincuentes realizan un análisis inicial de la TPV blanca para verificar que el establecimiento cuente un movimiento mínimo de transacciones con tarjetas de crédito.
“Si el malware percibe que hay pocas transacciones en el establecimiento, se cancela la estafa y el grupo buscará una nueva víctima. Esto demuestra el grado de profesionalismo de la banda”, explica Fabio Assolini, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.
Si el blanco les resulta atractivo, se hará un segundo análisis del equipo para encontrar el mejor escondite para el malware. Assolini señala que el equipo de investigadores que realizó el análisis quedó sorprendido por el grado de sofisticación del ataque. Este módulo tiene la capacidad de ajustar la forma en que ocurre la infección, para garantizar que el malware no sea identificado.
Visita nuestros portales: