Prilex vende nuevos programas maliciosos dirigidos al sector pagos en todo el mundo

112

6 de octubre de 2022

Los ciberdelincuentes también están vendiendo activamente su malware en la red oscura como Malware-as-a-Service, lo que significa que ahora está disponible para otros estafadores, y el de perder dinero está aumentando para las empresas de todo el mundo. 

Prilex es un conocido y peligroso actor de amenazas que tiene como objetivo el núcleo del sector de los pagos: los cajeros automáticos (ATM) y los terminales de punto de (TPV). Activo desde 2014, Prilex estuvo supuestamente detrás de uno de los mayores ataques a cajeros automáticos en Brasil. Durante el carnaval de 2016, el grupo clonó más de 28.000 tarjetas de crédito y vació más de 1.000 cajeros automáticos en uno de los bancos brasileños. Los estafadores robaron todos los fondos presentes en las máquinas, y los daños tras este incidente se calculan en millones de dólares.

En 2016, el grupo centró todos sus ataques únicamente en los sistemas TPV. Desde entonces, los ciberdelincuentes han perfeccionado su malware, convirtiéndolo en una amenaza compleja que evoluciona rápidamente, teniendo un gran impacto en la cadena de pagos. Ahora el actor de la amenaza Prilex lleva a cabo los llamados ataques «GHOST» -transacciones fraudulentas utilizando criptogramas- generados previamente por la tarjeta de la víctima durante el proceso de pago en la tienda.

Las primeras infecciones de las máquinas suelen producirse a través de la ingeniería social. Tras elegir un objetivo, los ciberdelincuentes llaman al propietario de la empresa o a sus empleados y les dicen que su software de TPV debe ser actualizado por un técnico. Más tarde, el falso técnico acude a la empresa objetivo en persona e infecta las máquinas con software malicioso. Otra situación es que los estafadores pidan al objetivo que instale AnyDesk y proporcionen acceso al falso técnico para instalar el malware de forma remota.

Antes de atacar a las víctimas, los ciberdelincuentes realizan un escrutinio inicial de la máquina, con el fin de comprobar el número de transacciones que ya han tenido lugar y si vale la pena atacar ese objetivo. Si es así, el malware capturará cualquier transacción en curso y modificará su contenido para poder capturar la información de la tarjeta. Todos los datos de la tarjeta de crédito se guardan en un archivo encriptado, que posteriormente se enviará al servidor de los atacantes, lo que les permitirá realizar transacciones a través de un dispositivo PoS fraudulento registrado a nombre de una empresa falsa

De este modo, tras haber atacado un sistema PoS, los atacantes obtienen datos de docenas e incluso cientos de tarjetas diariamente. Es especialmente peligroso si las máquinas afectadas están situadas en centros comerciales populares de ciudades densamente pobladas, donde el flujo diario de clientes puede llegar a ser de miles de personas.

En la reciente investigación, los de Kaspersky también han descubierto que el grupo Prilex está controlando el ciclo de vida de desarrollo de su malware utilizando Subversion, utilizado por equipos de desarrollo . Además, un supuesto sitio web oficial de Prilex está vendiendo los kits de su malware a otros ciberdelincuentes como Malware-as-a-Service. Prilex ha vendido previamente varias versiones de su malware en la darknet, por ejemplo, en 2019 un alemán perdió más de 1,5 millones de euros en un ataque similar del malware Prilex. Ahora, con la aparición de su operación MasS, las versiones altamente sofisticadas y peligrosas del malware PoS podrían extenderse a muchos países, y el riesgo de perder millones de dólares aumentaría para empresas de todo el mundo. Los analistas de Kaspersky también descubrieron sitios web y chats de Telegram donde los ciberdelincuentes venden el malware Prilex. Haciéndose pasar por el propio grupo Prilex, ofrecen las últimas versiones del malware PoS, que cuestan entre 3.500 y 13.000 dólares. Los expertos de Kaspersky no se fían de la titularidad de estos sitios web, ya que pueden ser imitadores que intentan hacerse pasar por el grupo y robar dinero aprovechando su reciente fama