Investigadores de Kaspersky descubrieron que hay un nuevo malware que facilita los ataques “fantasma” y roba la clave de autenticación a plásticos que ya incluyen el chip

 

El autor intelectual de esta calamidad es el grupo de amenazas Prilex, famoso por robar millones de dólares a bancos. De acuerdo con investigadores de Kaspersky, los ciberdelincuentes han innovado y mejorado sus herramientas de fraude, de un simple raspador de memoria a un malware avanzado que ataca directamente a las Terminales Modulares de Punto de Venta (TPV).

Aunado a eso, Prilex vende este virus en la Darknet como Malware de Servicio (MaaS), lo que aumenta el riesgo de que más estafadores lo usen y tarde o temprano afecte a todos los consumidores que pagan con su tarjeta de crédito de forma física.

 

¿Cómo lo instalan?

Generalmente las infecciones en las terminales de punto de venta se realizan a través de la ingeniería social. La manera en la que operan estos ciberdelincuentes inicia con la elección de un “objetivo”, que en este caso será el establecimiento víctima del ataque. Llaman al propietario del lugar o a uno de sus encargados con el pretexto de actualizar el software del TPV. Al aceptar, acude un técnico falso de manera presencial e infecta las máquinas con el virus.

También se han registrado casos en donde los estafadores solicitan a la empresa instalar el programa “AnyDesk” para actualizar el sistema a distancia, lo que facilita la colocación del malware de manera remota.

Así funciona:

Una vez infectado el sistema de pago, Prilex cambia el proceso de las máquinas que se conectan a la terminal. De esta forma, cuando el cliente está pagando con su tarjeta de crédito, el primer ingreso de su contraseña es controlado por el malware y roba la clave de autenticación.

 

Simula un error en la primera transacción y solicita al cliente introducir su contraseña nuevamente para completar el pago, suceso muy recurrente y común en las TPV. Ni el consumidor ni el establecimiento se dan cuenta de que tras este incidente se ha producido el fraude.

Además de la elaborada estrategia, estas son las consideraciones que toman en cuenta los estafadores…

Antes del ataque, los ciberdelincuentes realizan un análisis de la TPV del “blanco”. Verifican que el establecimiento cuente con un movimiento mínimo de transacciones con tarjetas de crédito. 

“Si el malware percibe que hay pocas transacciones en el establecimiento, se cancela la estafa y el grupo buscará una nueva víctima. Esto demuestra el grado de su profesionalismo.”, explica Fabio Assolini, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.

De resultar “atractivo”, se hará un segundo análisis con el fin de encontrar el mejor escondite para el malwareAssolini señaló que el equipo de investigadores quedó sorprendido por el grado de sofisticación del ataque, ya que este módulo tiene la capacidad de ajustar la infección para garantizar que no sea identificado por un antivirus y se pueda llevar a cabo el robo durante mucho tiempo.

Entonces, ¿a dónde van mis datos?

La información capturada de la tarjeta de crédito se enviará al servidor del operador. Después de atacar al sistema TPV, los criminales obtienen datos de cientos de personas diariamente. Es especialmente peligroso si las máquinas infectadas están ubicadas en centros comerciales populares de ciudades muy pobladas, donde el flujo diario de clientes puede llegar a miles.

¿Cómo me protejo?

  1. Instala la aplicación de tu banco en tu celular, con esto tendrás
  2. mayor control sobre tu tarjeta de crédito.
  3. Monitorea tus gastos. De ver movimientos no reconocidos, debes reportarlo inmediatamente.
  4. Mantén tu tarjeta de crédito “apagada” antes y después de usarla. Puedes hacer este movimiento desde la app bancaria.
  5. De ser posible, utiliza la tarjeta virtual para pagar en establecimientos. Actualmente hay teléfonos celulares y negocios que aceptan este método de pago.
  6. Si te es posible, puedes contratar un seguro de protección contra robo, extravío y clonación. Estos cubren cargos no reconocidos y no tendrás problema de recuperar el dinero utilizado.

¿Qué es Prilex?

Es un agente de amenazas que se dirige al núcleo de la industria de pagos: los cajeros automáticos (ATM) y las terminales de punto de venta. Activo desde 2014, supuestamente estuvo detrás de uno de los mayores ataques realizados a cajeros automáticos en Brasil. 

Durante el carnaval de 2016, clonó más de 28 mil tarjetas de crédito y vació más de mil cajeros automáticos de uno de los bancos brasileños. Robaron todos los fondos existentes en las máquinas y el daño después de este incidente se estimó en millones de dólares.

En ese mismo año el grupo centró todos sus ataques únicamente en los sistemas TPV. Desde entonces, los ciberdelincuentes han “mejorado” el malware, convirtiéndolo en una amenaza compleja que evoluciona rápidamente y tiene un gran impacto en la cadena de pagos.