Un actor de amenazas ha utilizado dos variantes de malware de punto de venta (PoS) para robar información relacionada con más de 167,000 tarjetas de crédito de terminales de pago.
Según la empresa de seguridad cibernética Group-IB, con sede en Singapur, los volcados de datos robados podrían reportar a los operadores hasta 3,34 millones de dólares vendiéndolos en foros clandestinos.
Si bien una proporción significativa de los ataques destinados a recopilar datos de pago se basan en rastreadores de JavaScript (también conocidos como skimmers web) insertados sigilosamente en sitios web de comercio electrónico, el malware PoS sigue siendo una amenaza constante, aunque menos popular.
El mes pasado, Kaspersky detalló nuevas tácticas adoptadas por un actor de amenazas brasileño conocido como Prilex para robar dinero mediante transacciones fraudulentas.
«Casi todas las cepas de malware PoS tienen una funcionalidad de extracción de volcado de tarjeta similar, pero diferentes métodos para mantener la persistencia en los dispositivos infectados, la exfiltración y el procesamiento de datos», investigadores Nikolay Shelekhov y Said Khamchiev. dijo.
Treasure Hunter y su sucesor avanzado MajikPOS son similares en el sentido de que están diseñados para abrirse paso por la fuerza bruta en un terminal PoS o, alternativamente, comprar el acceso inicial de otras partes conocidas como corredores de acceso inicial, y luego extraer la información de la tarjeta de pago de la memoria del sistema. y reenviarlo a un servidor remoto.
Vale la pena señalar que MajikPOS salió a la luz por primera vez a principios de 2017, afectando principalmente a empresas en EE. UU. y Canadá. Cazador de tesoros (también conocido como BÚSQUEDA DEL TESORO), por otro lado, ha sido documentado desde 2014, y su código fuente sufrió una filtración en 2018.
Group-IB, que identificó los servidores de comando y control (C2) asociados con los dos malware de PoS, dijo que MajikPOS y Treasure Hunter comprometieron 77,428 y 90,024 registros de pago únicos entre febrero y septiembre de 2022.
Se dice que la mayoría de las tarjetas robadas fueron emitidas por bancos en los EE. UU., Puerto Rico, Perú, Panamá, el Reino Unido, Canadá, Francia, Polonia, Noruega y Costa Rica.
Se desconoce la identidad de los actores criminales detrás del esquema, y actualmente no está claro si el grupo ya vendió los datos robados para obtener ganancias monetarias.
Esto puede tener graves consecuencias si los bancos emisores de tarjetas no implementan mecanismos de protección adecuados, lo que permite que los delincuentes empleen tarjetas clonadas para retirar fondos de forma ilícita y realizar transacciones no autorizadas.
«El malware PoS se ha vuelto menos atractivo para los actores de amenazas en los últimos años debido a algunas de sus limitaciones y las medidas de seguridad implementadas dentro de la industria de pago con tarjeta», dijeron los investigadores.
«Sin embargo, […] sigue siendo una amenaza importante para la industria de pagos en su conjunto y para empresas separadas que aún no han implementado las últimas prácticas de seguridad. Es demasiado pronto para descartar el malware PoS».