Una nueva versión del malware Prilex POS ha encontrado una forma novedosa de robar la información de su tarjeta de crédito.
De acuerdo a kaspersky, Prilex es un actor de amenazas brasileño que inicialmente comenzó en 2014 como un malware relacionado con cajeros automáticos y luego cambió a malware de punto de servicio modular. El actor de amenazas fue responsable de uno de los mayores ataques a cajeros automáticos en Brasil, infectando y robando más de 1,000 máquinas y clonando más de 28,000 tarjetas de crédito utilizadas en los cajeros automáticos.
VER: Política de seguridad de dispositivos móviles (High quality de TechRepublic)
Prilex tiene experiencia particular en mercados de pago, program y protocolos de transferencia electrónica de fondos, y el actor de amenazas actualizó recientemente su malware POS para bloquear transacciones sin contacto para robar la información de su tarjeta de crédito.
Salta a:
Novedades del último malware Prilex
Los métodos de pago sin contacto se han vuelto increíblemente populares, especialmente desde la pandemia de COVID-19, cuando las personas deseaban tocar la mayor cantidad posible de superficies públicas. Dichos pagos requieren que la tarjeta de crédito esté muy cerca del dispositivo de pago, que suele ser una terminal POS.
Dado que los pagos sin contacto no son manejados por el terminal POS de la misma manera que los pagos habituales, no es posible que los ciberdelincuentes abusen y hagan un uso fraudulento del sistema. Esto resultó en que el malware POS de los ciberdelincuentes viera una gran disminución en la cantidad de transacciones de las que podía abusar.
Los desarrolladores de malware Prilex han encontrado una manera de lidiar con este problema: el malware, una vez que ve que ocurre una transacción sin contacto, la bloquea. Luego, el teclado PIN le dice al usuario que hay un error sin contacto y que el pago debe realizarse insertando la tarjeta de crédito. Una vez que la víctima paga con tarjeta, Prilex puede operar un fraude de transacción GHOST.
En las transacciones GHOST, el malware se aloja en el dispositivo e intercepta todas las comunicaciones entre el software package POS y el teclado PIN. Una vez que una transacción está en curso, el malware intercepta el contenido de la transacción y lo modifica para capturar la información de la tarjeta de crédito y solicitar nuevos criptogramas EMV a la tarjeta de la víctima. El nuevo criptograma EMV permite al atacante iniciar una nueva transacción fraudulenta desde un dispositivo POS de su propiedad (Figura A).
Figura A
¿Cómo funcionan las infecciones de malware de POS?
El malware POS no es el malware promedio. Desarrollarlo requiere una comprensión profunda de todo el mercado de pagos, así como de sus protocolos, herramientas e implementación. Como dicho malware es inútil en los puntos finales habituales, debe ejecutarse en las computadoras que realmente ejecutan el software package POS y se ocupan de los pagos.
Los ciberdelincuentes detrás del malware POS avanzado no pueden simplemente enviar correos electrónicos de phishing para infectar las computadoras necesitan dirigirse a personas específicas y utilizar esquemas de ingeniería social para incitar a la víctima a instalar una aplicación legítima de escritorio remoto antes de infectarla. Esto explica por qué los estafadores generalmente se hacen pasar por técnicos que necesitan actualizar el software de POS legítimo.
Cómo proteger a su organización de esta amenaza
El cliente last no puede hacer nada contra la amenaza, como sucede en los dispositivos infectados que no puede controlar. Toda la protección debe provenir de los administradores del software package POS.
Como empresa que utiliza sistemas POS, establezca un proceso detallado con el proveedor de POS para evitar estafas de ingeniería social. Todos los contactos entre el cliente del program POS y el proveedor del application POS deben seguir reglas específicas que deben ser discutidas a través de un canal seguro y conocidas por cualquier persona que pueda acceder a los dispositivos que ejecutan el software package POS. Si algún ciberdelincuente llama y se hace pasar por un empleado del proveedor de computer software POS, esto ayudaría a descubrirlo de inmediato.
Las soluciones de seguridad deben implementarse en todos los dispositivos que ejecutan application POS para intentar detectar infecciones de malware. Dado que la información se envía desde un dispositivo POS infectado a un C2 propiedad del atacante, las comunicaciones de pink también deben monitorearse para detectar cualquier actividad sospechosa que pueda ser una comunicación entre un malware y un servidor C2.
Finalmente, todo el program y los sistemas operativos siempre deben estar actualizados y parcheados para evitar el compromiso de vulnerabilidades comunes.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
