Tres nuevas variantes del malware Prilex, responsable de fraudes con tarjetas de crédito y considerado por los expertos como la amenaza más avanzada para los puntos de venta reveló esta semana la firma de seguridad Kaspersky.
El principal hallazgo de la nueva investigación revela que modificaciones recientes convierten a Prilex en el primer malware del mundo capaz de bloquear pagos de aproximación (a través de NFC) en dispositivos infectados. Al impedir esa clase de transacción, el consumidor se ve obligado a utilizar la tarjeta de crédito física, lo que permite transacciones tipo 'Fantasma'.
Prilex es un notorio agente de amenazas brasileño que evolucionó gradualmente a partir de un malware enfocado en los cajeros automáticos hasta convertirlo en un malware de punto de venta modular único. Estos ataques permiten realizar fraudes con tarjetas de crédito, incluso cuando las tarjetas están protegidas con la tecnología CHIP y PIN, supuestamente inviolable.
Ahora, reporta Kaspersky, Prilex ha ido aún más lejos.
Insertar para robar
Recientemente, durante la respuesta a un incidente con un cliente afectado por Prilex, los investigadores de Kaspersky descubrieron tres nuevas modificaciones que pueden bloquear las transacciones de pago sin contacto, las cuales se han vuelto extremadamente populares durante y después de la pandemia.
Los sistemas de pago sin contacto, como tarjetas de crédito y débito, llaveros y otros dispositivos inteligentes, incluidos los dispositivos móviles, han incluido tradicionalmente identificación por radiofrecuencia (RFID). Múltiples fabricantes y entidades bancarias han implementado tecnologías de comunicación de campo cercano (NFC) para respaldar transacciones seguras sin contacto.
Las tarjetas de crédito sin contacto ofrecen una forma cómoda y segura de realizar pagos sin necesidad de tocar, insertar o deslizar físicamente la tarjeta. Sin embargo, Prilex ha aprendido a bloquear tales transacciones mediante la implementación de un archivo que se basa en reglas y especifica si capturar o no la información de la tarjeta de crédito.
Debido a que las transacciones basadas en NFC generan un número de tarjeta único que es válido para una sola transacción, Prilex aprovecha ese detalle para detectar este tipo de transacción y la bloquea. Después del bloqueo, el teclado PIN del PDV mostrará el siguiente mensaje: “Error de aproximación. Inserte la tarjeta”.
El objetivo de los ciberdelincuentes es obligar a la víctima a usar su tarjeta física insertándola en el lector de PIN, para que el malware pueda capturar los datos provenientes de la transacción, utilizando todas las formas disponibles para Prilex, como manipular criptogramas para realizar ataques.
Prilex ha estado operando en la región latinoamericana desde 2014 y se supone que está detrás de uno de los ataques más grandes efectuados en la región. Durante el carnaval de Río en 2016, este agente capturó más de 28,000 tarjetas de crédito y vació más de 1,000 cajeros automáticos de un banco brasileño. Ahora, ha ampliado sus ataques a escala mundial.
¿Cómo protegerse de Prilex?
Kaspersky recomienda utilizar una solución de varios niveles que ofrezca una selección óptima de capas protectoras para proporcionar el mejor nivel de seguridad posible en dispositivos de diferentes potencias y escenarios de implementación. Los sistemas más antiguos requieren protección actualizada.
Para las instituciones financieras que son víctimas de este tipo de fraude, Kaspersky recomienda el Threat Attribution Engine, que ayuda a los equipos de IR a buscar y detectar archivos de Prilex en los entornos atacados.