El grupo de amenazas Prilex pone foco en los terminales de punto de venta

Los analistas de Kaspersky han descubierto que el grupo de amenazas Prilex ha actualizado sus herramientas, pasando de ser un simple memory scraper a un malware avanzado y complejo, que ahora tiene como objetivo los terminales modulares de punto de venta (TPV). Los ciberdelincuentes también están vendiendo activamente su malware en la red oscura como Malware-as-a-Service, lo que significa que ahora está disponible para otros estafadores.

Activo desde 2014, Prilex estuvo supuestamente detrás de uno de los mayores ataques a cajeros automáticos, cuando en 2016 clonó más de 28.000 tarjetas de crédito y vació más de 1.000 cajeros automáticos en uno de los bancos brasileños. Los daños tras este incidente se calculan en millones de dólares. Desde entonces, los ciberdelincuentes han perfeccionado su malware, y ahora el actor de la amenaza Prilex lleva a cabo los llamados ataques "GHOST" -transacciones fraudulentas utilizando criptogramas- generados previamente por la tarjeta de la víctima durante el proceso de pago en la tienda.

Las primeras infecciones de las máquinas suelen producirse a través de la ingeniería social. Tras elegir un objetivo, los ciberdelincuentes llaman al propietario de la empresa o a sus empleados y les dicen que su software de TPV debe ser actualizado por un técnico. Más tarde, el falso técnico acude a la empresa objetivo en persona e infecta las máquinas con software malicioso. Otra situación es que los estafadores pidan al objetivo que instale AnyDesk y proporcionen acceso al falso técnico para instalar el malware de forma remota.

Antes de atacar a las víctimas, los ciberdelincuentes realizan un escrutinio inicial de la máquina, con el fin de comprobar el número de transacciones que ya han tenido lugar y si vale la pena atacar ese objetivo. Si es así, el malware capturará cualquier transacción en curso y modificará su contenido para poder capturar la información de la tarjeta. Todos los datos de la tarjeta de crédito se guardan en un archivo encriptado, que posteriormente se enviará al servidor de los atacantes, lo que les permitirá realizar transacciones a través de un dispositivo PoS fraudulento registrado a nombre de una empresa falsa. De este modo, tras haber atacado un sistema PoS, los atacantes obtienen datos de docenas e incluso cientos de tarjetas diariamente.

Además, un supuesto sitio web oficial de Prilex está vendiendo los kits de su malware a otros ciberdelincuentes como Malware-as-a-Service, de manera que las versiones altamente sofisticadas y peligrosas del malware PoS podrían extenderse a muchos países, y el riesgo de perder millones de dólares aumentaría para empresas de todo el mundo.

Los analistas de Kaspersky también descubrieron sitios web y chats de Telegram donde los ciberdelincuentes, haciéndose pasar por el propio grupo Prilex, ofrecen las últimas versiones del malware PoS, que cuestan entre 3.500 y 13.000 dólares. Pueden ser imitadores que intentan hacerse pasar por el grupo y robar dinero aprovechando su reciente fama.