Kaspersky alerta de malware que amenaza las terminales de pago
El malware facilita los ataques “fantasmas” que utilizan la clave de autenticación de las tarjetas de crédito de las víctimas.
Kaspersky descubrió que Prilex, un conocido y peligroso malware, el cual buscará atacar las terminales de punto de venta (TPV).
El grupo de ciberdelincuentes detrás de este malware opera desde 2014 y, presuntamente, fue responsable de uno de los mayores ataques realizados a cajeros automáticos en Brasil en 2016, donde se clonaron más de 28,000 tarjetas de crédito y vaciaron más de 1,000 cajeros automáticos de un banco local. El daño del incidente se estimó en millones de dólares.
En México, de acuerdo con la Comisión Nacional Bancaria y de Valores, tres de cada cuatro personas utilizaron su tarjeta de crédito regularmente para realizar compras o pagos en 2021. Tan solo en el primer trimestre de 2022 se realizaron más de 220 millones de operaciones con tarjeta de crédito en terminales punto de venta con un valor de más de 200 mil millones de pesos, según datos del Banco de México.
Con Prilex los criminales obtienen datos de cientos de tarjetas diariamente, por lo que garantizar la seguridad del sistema de pagos es fundamental para la protección de las empresas, los consumidores y la industria, en general.
¿Cómo ocurre el ataque?
- Los ciberdelincuentes seleccionan el establecimiento víctima. Llaman al propietario de la empresa o a sus empleados con el pretexto de que un técnico debe actualizar el software de su terminal punto de venta.
- Al aceptar, el técnico falso visita la empresa e infecta las máquinas con software malicioso. (También se han registrado casos donde la instalación del malware sucede vía remota).
- Previo al ataque, realizan un análisis de la terminal punto de venta del establecimiento para verificar si cuenta con un mínimo de transacciones con tarjetas de crédito.
- Si el malware percibe que hay pocas transacciones en el establecimiento, se cancela la estafa y el grupo buscará una nueva víctima.
- En cambio, si es viable, analizan nuevamente el equipo a fin de encontrar el mejor escondite para el malware donde ningún antivirus lo identifique.
El software instalado cambia el proceso de pago en las terminales. Cuando el cliente paga con su tarjeta de crédito, el primer ingreso de su contraseña es controlado por el malware que roba la clave de autenticación generada en la primera transacción.
Al robarla, simulará un error para pedir nuevamente al cliente que introduzca su contraseña y completar el pago. Ni el consumidor ni el establecimiento saben que están siendo víctimas de un fraude.
Actualmente, Prilex se vende en la Darknet como Malware como servicio (MaaS), por lo que las versiones más sofisticadas y peligrosas de éste podrían propagarse a varios países, junto con el riesgo para empresas o entidades financieras en el mundo de perder millones de dólares.
“En las películas los ladrones entran a un banco con un arma en la mano, vacían la caja registradora y huyen llevándose una enorme bolsa de dinero. En el mundo real, estos robos ocurren de manera diferente. Hoy en día, los delincuentes son muy sigilosos: suelen atacar a distancia mediante malware sin ningún contacto físico. Esto los hace más difíciles de detectar, y hasta que los cajeros automáticos y puntos de venta no estén lo suficientemente protegidos y actualizados, la cantidad de amenazas e incidentes solo aumentará”, comenta Assolini.
La familia Prilex es detectada como HEUR:Trojan.Win32.Prilex y HEUR:Trojan.Win64.Prilex por todos los productos de Kaspersky
Los detalles técnicos e índices de compromiso de esta amenaza están disponibles para todas las instituciones con acceso al Portal de Inteligencia de Amenazas de Kaspersky. Lea el informe completo sobre Prilex en Securelist.
