{"id":11352,"date":"2022-10-03T16:05:06","date_gmt":"2022-10-03T21:05:06","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=11352"},"modified":"2022-10-03T16:05:13","modified_gmt":"2022-10-03T21:05:13","slug":"prilex-infame-actor-de-amenaza-vende-nuevo-peligroso-y-sofisticado-malware-para-tpv-a-nivel-mundial","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/prilex-infame-actor-de-amenaza-vende-nuevo-peligroso-y-sofisticado-malware-para-tpv-a-nivel-mundial\/","title":{"rendered":"Prilex: infame actor de amenaza vende nuevo, peligroso y sofisticado malware para TPV a nivel mundial"},"content":{"rendered":"\n

El malware facilita los ataques \u201cFantasmas\u201d, transacciones fraudulentas que utilizan la clave de autenticaci\u00f3n de las tarjetas de cr\u00e9dito de v\u00edctimas, incluso aquellas con chip.<\/em><\/p>\n\n\n\n

Los investigadores de Kaspersky han descubierto que el grupo de amenazas Prilex, famoso por robar millones de d\u00f3lares de bancos, ha evolucionado sustancialmente. Despu\u00e9s de desarrollar tanto sus innovaciones t\u00e9cnicas como sus estrategias comerciales y de marketing, Prilex ha mejorado sus herramientas desde un simple raspador de memoria a un malware avanzado y complejo que ahora tiene como objetivo a las terminales modulares de punto de venta (TPV). Los ciberdelincuentes tambi\u00e9n est\u00e1n vendiendo activamente su malware en la Darknet como Malware como servicio (MaaS), lo que significa que ahora est\u00e1 disponible para otros estafadores, aumentando el riesgo de p\u00e9rdida de dinero para las empresas de todo el mundo.<\/strong><\/p>\n\n\n\n

Prilex es un conocido y peligroso agente de amenazas que se dirige al n\u00facleo de la industria de pagos: los cajeros autom\u00e1ticos (ATM) y las terminales de punto de venta. Activo desde 2014, Prilex supuestamente estuvo detr\u00e1s de uno de los mayores ataques realizados a cajeros autom\u00e1ticos en Brasil. Durante el carnaval de 2016, el agente clon\u00f3 m\u00e1s de 28.000 tarjetas de cr\u00e9dito y vaci\u00f3 m\u00e1s de 1.000 cajeros autom\u00e1ticos de uno de los bancos brasile\u00f1os. Los estafadores robaron todos los fondos existentes en las m\u00e1quinas y el da\u00f1o despu\u00e9s de este incidente se estim\u00f3 en millones de d\u00f3lares.<\/p>\n\n\n\n

En 2016, el grupo centr\u00f3 todos sus ataques \u00fanicamente en los sistemas TPV. Desde entonces, los ciberdelincuentes han mejorado el malware, convirti\u00e9ndolo en una amenaza compleja que evoluciona r\u00e1pidamente y tiene un gran impacto en la cadena de pagos. Ahora, el agente de amenazas Prilex lleva a cabo los llamados ataques \u201cFantasmas\u201d, transacciones fraudulentas que utilizan la clave de autenticaci\u00f3n (criptogramas), previamente generada por la tarjeta de la v\u00edctima durante el proceso de pago en un establecimiento. <\/p>\n\n\n\n

Las infecciones iniciales de las terminales de punto de venta generalmente se realizan a trav\u00e9s de la ingenier\u00eda social. Despu\u00e9s de elegir un objetivo, los ciberdelincuentes llaman al propietario de la empresa o a sus empleados con el pretexto de que un t\u00e9cnico debe actualizar el software del TPV. Al aceptar, el t\u00e9cnico falso llega personalmente a la empresa e infecta las m\u00e1quinas con software malicioso. Tambi\u00e9n se han registrado escenarios donde los estafadores solicitan al objetivo instalar AnyDesk para que un t\u00e9cnico pueda actualizar el sistema a distancia, lo que facilita la instalaci\u00f3n del malware de manera remota. <\/p>\n\n\n\n

El esquema funciona de la siguiente manera: una vez infectado el sistema de pago, Prilex cambia el proceso de las m\u00e1quinas que se conectan a la terminal infectada. De esta forma, cuando el cliente est\u00e1 pagando por su compra en el establecimiento con su tarjeta de cr\u00e9dito, el primer ingreso de su contrase\u00f1a es controlado por el malware para robar la clave de autenticaci\u00f3n (llamada criptograma) que siempre se genera en la primera transacci\u00f3n del cliente. Al robarla, Prilex simular\u00e1 un error en la transacci\u00f3n para poder pedirle al cliente que introduzca de nuevo la contrase\u00f1a para completar el pago \u201cnormalmente\u201d. Ni el consumidor ni el establecimiento se dan cuenta de que se ha producido el fraude.<\/p>\n\n\n\n

Es importante se\u00f1alar que, antes del ataque, los ciberdelincuentes realizan un an\u00e1lisis inicial de la TPV blanco para verificar que el establecimiento cuente un movimiento m\u00ednimo de transacciones con tarjetas de cr\u00e9dito. \u201cSi el malware percibe que hay pocas transacciones en el establecimiento, se cancela la estafa y el grupo buscar\u00e1 una nueva v\u00edctima. Esto demuestra el grado de profesionalismo de la banda\u201d,<\/em> explica Fabio Assolini, director del Equipo de Investigaci\u00f3n y An\u00e1lisis para Am\u00e9rica Latina en Kaspersky.<\/strong> Si el blanco les resulta atractivo, se har\u00e1 un segundo an\u00e1lisis del equipo para encontrar el mejor escondite para el malware. Assolini se\u00f1ala que el equipo de investigadores que realiz\u00f3 el an\u00e1lisis qued\u00f3 sorprendido por el grado de sofisticaci\u00f3n del ataque, ya que este m\u00f3dulo tiene la capacidad de ajustar la forma en que ocurre la infecci\u00f3n para garantizar que el malware no sea identificado por un antivirus y pueda llevar a cabo el robo durante mucho tiempo.<\/p>\n\n\n\n

\"\"
Datos de la tarjeta de cr\u00e9dito capturados que luego se enviar\u00e1n al servidor del operador\u00a0<\/em><\/figcaption><\/figure>\n\n\n\n

Despu\u00e9s de atacar al sistema TPV, los atacantes obtienen datos de docenas e incluso cientos de tarjetas diariamente. Es especialmente peligroso si las m\u00e1quinas infectadas est\u00e1n ubicadas en centros comerciales populares en ciudades densamente pobladas, donde el flujo diario de clientes puede llegar a miles de personas.\u00a0<\/p>\n\n\n\n

\"\"
El esquema de los ataques de Prilex<\/em><\/figcaption><\/figure>\n\n\n\n

En la investigaci\u00f3n reciente, los expertos de Kaspersky tambi\u00e9n descubrieron que el grupo Prilex est\u00e1 controlando el ciclo de vida de desarrollo de su malware mediante Subversion<\/em>, que es utilizado por equipos de desarrollo profesional. Adem\u00e1s, un supuesto sitio web oficial de Prilex est\u00e1 vendiendo los kits de su malware a otros ciberdelincuentes como Malware como servicio. Prilex ha vendido anteriormente varias versiones de su malware en la Darknet; por ejemplo, en 2019, un banco alem\u00e1n perdi\u00f3 m\u00e1s de 1,5 millones de euros<\/a> en un ataque similar del malware Prilex. Ahora, al surgir su operaci\u00f3n MaaS, las versiones muy sofisticadas y peligrosas del malware para los puntos de venta podr\u00edan propagarse a muchos pa\u00edses, y el riesgo de perder millones de d\u00f3lares aumentar\u00eda para las empresas o entidades financieras de todo el mundo*.<\/p>\n\n\n\n

Los investigadores de Kaspersky tambi\u00e9n descubrieron sitios web y chats en Telegram donde los ciberdelincuentes venden malware Prilex. Haci\u00e9ndose pasar por el propio grupo Prilex, ofrecen las versiones m\u00e1s recientes del malware para TPV, con un costo de US$3.500 a US$13.000. Los expertos de Kaspersky no conf\u00edan en la titularidad real de estos sitios web, ya que pueden ser imitadores que intentan hacerse pasar por el grupo y robar dinero usando su fama reciente.<\/p>\n\n\n\n

\"\"
Ciberdelincuentes piden US$3.500 por el supuesto kit Prilex TPV<\/em><\/figcaption><\/figure>\n\n\n\n

\u201cEn las pel\u00edculas, a menudo vemos c\u00f3mo los ladrones entran a un banco con un arma en la mano, vac\u00edan la caja registradora y huyen de la escena llev\u00e1ndose consigo una enorme bolsa de dinero. En el mundo real, sin embargo, los robos a bancos ocurren de manera bastante diferente. Hoy en d\u00eda, los verdaderos delincuentes son muy sigilosos: suelen atacar a distancia mediante malware sin ning\u00fan contacto f\u00edsico con el banco. Esto los hace mucho m\u00e1s dif\u00edciles de detectar, y hasta que los cajeros autom\u00e1ticos y los puntos de venta no est\u00e9n lo suficientemente protegidos y actualizados, la cantidad de amenazas e incidentes s\u00f3lo aumentar\u00e1\u201d,<\/em> comenta Assolini.<\/strong><\/p>\n\n\n\n

La familia Prilex es detectada como <\/em>HEUR:Trojan.Win32.Prilex<\/em><\/strong> <\/em>y H<\/strong><\/em>EUR:Trojan.Win64.Prilex<\/em><\/strong> por todos los productos de Kaspersky <\/em><\/p>\n\n\n\n

Los detalles t\u00e9cnicos e \u00edndices de compromiso de esta amenaza est\u00e1n disponibles para todas las instituciones con acceso al Portal de Inteligencia de Amenazas de Kaspersky<\/a>.<\/p>\n\n\n\n

Lea m\u00e1s sobre Prilex en el informe completo en Securelist.<\/a><\/p>\n\n\n\n

Para protegerse contra Prilex, Kaspersky recomienda:<\/strong><\/p>\n\n\n\n