{"id":399083,"date":"2022-09-29T15:36:26","date_gmt":"2022-09-29T15:36:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-brasilenos-de-prilex-resurgieron-con-sofisticado-malware-de-punto-de-venta\/"},"modified":"2022-09-29T15:36:27","modified_gmt":"2022-09-29T15:36:27","slug":"hackers-brasilenos-de-prilex-resurgieron-con-sofisticado-malware-de-punto-de-venta","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-brasilenos-de-prilex-resurgieron-con-sofisticado-malware-de-punto-de-venta\/","title":{"rendered":"Hackers brasile\u00f1os de Prilex resurgieron con sofisticado malware de punto de venta"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Un actor de amenazas brasile\u00f1o conocido como Prilex<\/strong> ha resurgido despu\u00e9s de un par\u00e9ntesis operativo de un a\u00f1o con un malware avanzado y complejo para robar dinero mediante transacciones fraudulentas.<\/p>\n

“El grupo Prilex ha demostrado un alto nivel de conocimiento sobre las transacciones con tarjetas de cr\u00e9dito y d\u00e9bito, y c\u00f3mo funciona el software utilizado para el procesamiento de pagos”, investigadores de Kaspersky dijo<\/a>. “Esto permite a los atacantes seguir actualizando sus herramientas para encontrar una manera de eludir las pol\u00edticas de autorizaci\u00f3n, lo que les permite realizar sus ataques”.<\/p>\n

El grupo de ciberdelincuencia apareci\u00f3 en escena con ataques de malware centrados en cajeros autom\u00e1ticos en la naci\u00f3n sudamericana, lo que le permiti\u00f3 ingresar a los cajeros autom\u00e1ticos para realizar jackpotting, un tipo de ataque que tiene como objetivo entregar efectivo de manera ileg\u00edtima, y \u200b\u200bclonar miles de tarjetas de cr\u00e9dito para robar. fondos de los clientes del banco objetivo.<\/p>\n

\"La<\/a><\/div>\n

El modus operandi de Prilex a lo largo de los a\u00f1os ha evolucionado para aprovechar los procesos relacionados con el software de punto de venta (PoS) para interceptar y modificar las comunicaciones con dispositivos electr\u00f3nicos como teclados para PIN<\/a>que se utilizan para facilitar los pagos mediante tarjetas de d\u00e9bito o cr\u00e9dito.<\/p>\n

Conocidos por estar activos desde 2014, los operadores tambi\u00e9n son expertos en llevar a cabo Ataques de repetici\u00f3n EMV<\/a> en el que el tr\u00e1fico de una transacci\u00f3n leg\u00edtima con tarjeta con chip basada en EMV se captura y se reproduce en un procesador de pagos como Mastercard, pero con los campos de transacci\u00f3n modificados para incluir datos de tarjetas robadas.<\/p>\n

Infectar una computadora con el software PoS instalado es un ataque altamente dirigido que incorpora un elemento de ingenier\u00eda social que permite que el actor de amenazas implemente el malware.<\/p>\n

\"\"<\/div>\n

“Una empresa objetivo puede recibir una llamada de un ‘t\u00e9cnico’ que insiste en que la empresa necesita actualizar su software PoS”, se\u00f1alaron los investigadores. “El t\u00e9cnico falso puede visitar el objetivo en persona o solicitar a las v\u00edctimas que instalen AnyDesk y proporcionen acceso remoto para que el ‘t\u00e9cnico’ instale el malware”.<\/p>\n

Sin embargo, las \u00faltimas entregas detectadas en 2022 muestran una diferencia crucial en el sentido de que los ataques de repetici\u00f3n se han sustituido con una t\u00e9cnica alternativa para retirar fondos il\u00edcitamente utilizando criptogramas generados por la tarjeta de la v\u00edctima durante el proceso de pago en la tienda.<\/p>\n

El m\u00e9todo, llamado transacciones GHOST, incluye un componente de ladr\u00f3n que captura todas las comunicaciones entre el software PoS y el teclado PIN utilizado para leer la tarjeta durante la transacci\u00f3n con el objetivo de obtener la informaci\u00f3n de la tarjeta.<\/p>\n

Esto se transmite posteriormente a un servidor de comando y control (C2), lo que permite al actor de amenazas realizar transacciones a trav\u00e9s de un dispositivo PoS fraudulento registrado a nombre de una empresa falsa.<\/p>\n

\"La<\/a><\/div>\n

Ahora, vale la pena se\u00f1alar que las tarjetas con chip EMV usan lo que se llama un criptograma para proteger los datos del titular de la tarjeta cada vez que se realiza una transacci\u00f3n. Esto se hace para validar la identidad de la tarjeta y la aprobaci\u00f3n del emisor de la tarjeta, reduciendo as\u00ed el riesgo de transacciones falsificadas.<\/p>\n

Si bien las versiones anteriores de Prilex eludieron estas medidas de seguridad al monitorear la transacci\u00f3n en curso para obtener el criptograma y realizar un ataque de repetici\u00f3n utilizando la “firma” recopilada, el ataque GHOST solicita nuevos criptogramas EMV que se utilizan para completar las transacciones no autorizadas.<\/p>\n

Tambi\u00e9n integrado en el malware hay un m\u00f3dulo de puerta trasera que est\u00e1 dise\u00f1ado para depurar el comportamiento del software PoS y realizar cambios sobre la marcha. Otros comandos de puerta trasera lo autorizan a terminar procesos, iniciar y detener capturas de pantalla, descargar archivos arbitrarios del servidor C2 y ejecutar comandos usando CMD.<\/p>\n

Prilex est\u00e1 “lidiando directamente con el protocolo de hardware del teclado PIN en lugar de usar API de nivel superior, haciendo parches en tiempo real en el software de destino, conectando bibliotecas del sistema operativo, jugando con respuestas, comunicaciones y puertos, y cambiando de un ataque basado en repeticiones para generar criptogramas para sus transacciones GHOST incluso de tarjetas de cr\u00e9dito protegidas con tecnolog\u00eda CHIP y PIN”, dijeron los investigadores.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Un actor de amenazas brasile\u00f1o conocido como Prilex ha resurgido despu\u00e9s de un par\u00e9ntesis operativo de un a\u00f1o<\/p>\n","protected":false},"author":1,"featured_media":399084,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,8960,4664,99,4662,6369,4668,4667,4669,4654,4658,4659,4653,4655,113062,4663,171,113063,4666,4665,65824,7201,4660],"class_list":["post-399083","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-brasilenos","tag-como-hackear","tag-con","tag-filtracion-de-datos","tag-hackers","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-prilex","tag-programa-malicioso-ransomware","tag-punto","tag-resurgieron","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sofisticado","tag-venta","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/399083","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=399083"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/399083\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/399084"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=399083"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=399083"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=399083"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}