Un actor de amenazas brasileño conocido como Prilex ha resurgido después de un paréntesis operativo de un año con un malware avanzado y complejo para robar dinero mediante transacciones fraudulentas.
«El grupo Prilex ha demostrado un alto nivel de conocimiento sobre las transacciones con tarjetas de crédito y débito, y cómo funciona el software utilizado para el procesamiento de pagos», investigadores de Kaspersky dijo. «Esto permite a los atacantes seguir actualizando sus herramientas para encontrar una manera de eludir las políticas de autorización, lo que les permite realizar sus ataques».
El grupo de ciberdelincuencia apareció en escena con ataques de malware centrados en cajeros automáticos en la nación sudamericana, lo que le permitió ingresar a los cajeros automáticos para realizar jackpotting, un tipo de ataque que tiene como objetivo entregar efectivo de manera ilegítima, y clonar miles de tarjetas de crédito para robar. fondos de los clientes del banco objetivo.
El modus operandi de Prilex a lo largo de los años ha evolucionado para aprovechar los procesos relacionados con el software de punto de venta (PoS) para interceptar y modificar las comunicaciones con dispositivos electrónicos como teclados para PINque se utilizan para facilitar los pagos mediante tarjetas de débito o crédito.
Conocidos por estar activos desde 2014, los operadores también son expertos en llevar a cabo Ataques de repetición EMV en el que el tráfico de una transacción legítima con tarjeta con chip basada en EMV se captura y se reproduce en un procesador de pagos como Mastercard, pero con los campos de transacción modificados para incluir datos de tarjetas robadas.
Infectar una computadora con el software PoS instalado es un ataque altamente dirigido que incorpora un elemento de ingeniería social que permite que el actor de amenazas implemente el malware.
«Una empresa objetivo puede recibir una llamada de un ‘técnico’ que insiste en que la empresa necesita actualizar su software PoS», señalaron los investigadores. «El técnico falso puede visitar el objetivo en persona o solicitar a las víctimas que instalen AnyDesk y proporcionen acceso remoto para que el ‘técnico’ instale el malware».
Sin embargo, las últimas entregas detectadas en 2022 muestran una diferencia crucial en el sentido de que los ataques de repetición se han sustituido con una técnica alternativa para retirar fondos ilícitamente utilizando criptogramas generados por la tarjeta de la víctima durante el proceso de pago en la tienda.
El método, llamado transacciones GHOST, incluye un componente de ladrón que captura todas las comunicaciones entre el software PoS y el teclado PIN utilizado para leer la tarjeta durante la transacción con el objetivo de obtener la información de la tarjeta.
Esto se transmite posteriormente a un servidor de comando y control (C2), lo que permite al actor de amenazas realizar transacciones a través de un dispositivo PoS fraudulento registrado a nombre de una empresa falsa.
Ahora, vale la pena señalar que las tarjetas con chip EMV usan lo que se llama un criptograma para proteger los datos del titular de la tarjeta cada vez que se realiza una transacción. Esto se hace para validar la identidad de la tarjeta y la aprobación del emisor de la tarjeta, reduciendo así el riesgo de transacciones falsificadas.
Si bien las versiones anteriores de Prilex eludieron estas medidas de seguridad al monitorear la transacción en curso para obtener el criptograma y realizar un ataque de repetición utilizando la «firma» recopilada, el ataque GHOST solicita nuevos criptogramas EMV que se utilizan para completar las transacciones no autorizadas.
También integrado en el malware hay un módulo de puerta trasera que está diseñado para depurar el comportamiento del software PoS y realizar cambios sobre la marcha. Otros comandos de puerta trasera lo autorizan a terminar procesos, iniciar y detener capturas de pantalla, descargar archivos arbitrarios del servidor C2 y ejecutar comandos usando CMD.
Prilex está «lidiando directamente con el protocolo de hardware del teclado PIN en lugar de usar API de nivel superior, haciendo parches en tiempo real en el software de destino, conectando bibliotecas del sistema operativo, jugando con respuestas, comunicaciones y puertos, y cambiando de un ataque basado en repeticiones para generar criptogramas para sus transacciones GHOST incluso de tarjetas de crédito protegidas con tecnología CHIP y PIN», dijeron los investigadores.