Los investigadores de Kaspersky detallaron una nueva campaña de malware Prilex, que se dirige a las máquinas de punto de venta para robar los datos de la tarjeta y manipular las transacciones realizadas a través de ella.
Señalaron que la pandilla Prilex apareció después de una brecha de un año, con tres nuevas versiones para mejorar sus operaciones.
Ahora contiene una puerta trasera para el acceso y las operaciones remotas, un ladrón para secuestrar los datos y manipular las transacciones, y un cargador para exportar los datos robados.
Nueva versión de malware dirigido a Prilex PoS
Comenzando con los cajeros automáticos en 2014, Prilex se ha convertido en un malware completo dirigido a los sistemas de punto de venta, con un desarrollo y distribución máximos en 2020, antes de tomar un gran descanso el año pasado.
Bueno, estas no fueron unas vacaciones reales para los autores de Prilex, ya que ahora han mostrado tres nuevas versiones del malware que es capaz de eludir la seguridad central integrada en las tarjetas de crédito. Como investigadores de Kaspersky reportado, ¡La nueva versión del malware Prilex puede generar criptogramas EMV (Europay, MasterCard y Visa) para crear transacciones GHOST!
Lea también: el nuevo malware de robo de información Erbium se está propagando a través de juegos descifrados
Introducido por VISA en 2019, EVM es un sistema de validación de transacciones para una mejor detección y bloqueo del fraude de pagos. Su criptograma es un mensaje encriptado entre la tarjeta y el lector POS que contiene los detalles de la transacción.
“En los ataques GHOST realizados por las versiones más nuevas de Prilex, solicita nuevos criptogramas EMV después de capturar la transacción”. para ser utilizado en transacciones fraudulentas, dijeron los investigadores de Kaspersky.
La campaña comienza con un técnico suplantador que envía un correo electrónico de phishing a un proveedor de PoS, alegando que la empresa necesita actualizar su software de PoS. Cuando está permitido, el equipo envía un técnico falso a las instalaciones del objetivo para instalar una actualización maliciosa en sus terminales PoS.
Alternativamente, la pandilla de suplantadores también les pide a los proveedores que instalen AnyDesk para actualizar sus terminales PoS de forma remota. Cuando terminan (prilex instalado), pueden controlar los terminales de forma remota y robar datos a su gusto. El malware Prilex actualizado contiene una puerta trasera que admite acciones de archivos, ejecución de comandos, finalización de procesos, modificación del registro y captura de pantalla.
Además, un módulo ladrón para husmear en las comunicaciones entre el teclado PIN y el software PoS, e incluso modificar transacciones, capturar información de la tarjeta y solicitar nuevos criptogramas EMV de la tarjeta. Y, por último, un cargador envía todos los datos capturados al C2 del pirata informático a través de las solicitudes HTTP POST.
Hasta entonces, la información capturada se guarda en forma cifrada localmente en la computadora comprometida. Este truco es malo no solo para los proveedores, sino también para los clientes que usan sus tarjetas contra los terminales infectados.
