Los analistas de Kaspersky han descubierto que el grupo de amenazas Prilex, famoso por robar millones de dólares a los bancos, ha evolucionado de manera sustancial. Tras desarrollar tanto sus innovadoras técnicas como sus estrategias comerciales y de marketing, Prilex ha actualizado sus herramientas, pasando de ser un simple memory scraper a un malware avanzado y complejo, que ahora tiene como objetivo los terminales modulares de punto de venta (TPV).
Los ciberdelincuentes también están vendiendo activamente su malware en la red oscura como Malware-as-a-Service, lo que significa que ahora está disponible para otros estafadores, y el riesgo de perder dinero está aumentando para las empresas de todo el mundo.
Prilex es un conocido y peligroso actor de amenazas que tiene como objetivo el núcleo del sector de los pagos: los cajeros automáticos (ATM) y los terminales de punto de venta (TPV). Activo desde 2014, Prilex estuvo supuestamente detrás de uno de los mayores ataques a cajeros automáticos en Brasil. Durante el carnaval de 2016, el grupo clonó más de 28.000 tarjetas de crédito y vació más de 1.000 cajeros automáticos en uno de los bancos brasileños. Los estafadores robaron todos los fondos presentes en las máquinas, y los daños tras este incidente se calculan en millones de dólares.
En 2016, el grupo centró todos sus ataques únicamente en los sistemas TPV. Desde entonces, los ciberdelincuentes han perfeccionado su malware, convirtiéndolo en una amenaza compleja que evoluciona rápidamente, teniendo un gran impacto en la cadena de pagos. Ahora el actor de la amenaza Prilex lleva a cabo los llamados ataques «GHOST» -transacciones fraudulentas utilizando criptogramas- generados previamente por la tarjeta de la víctima durante el proceso de pago en la tienda.
Las primeras infecciones de las máquinas suelen producirse a través de la ingeniería social. Tras elegir un objetivo, los ciberdelincuentes llaman al propietario de la empresa o a sus empleados y les dicen que su software de TPV debe ser actualizado por un técnico. Más tarde, el falso técnico acude a la empresa objetivo en persona e infecta las máquinas con software malicioso. Otra situación es que los estafadores pidan al objetivo que instale AnyDesk y proporcionen acceso al falso técnico para instalar el malware de forma remota.
Antes de atacar a las víctimas, los ciberdelincuentes realizan un escrutinio inicial de la máquina, con el fin de comprobar el número de transacciones que ya han tenido lugar y si vale la pena atacar ese objetivo. Si es así, el malware capturará cualquier transacción en curso y modificará su contenido para poder capturar la información de la tarjeta. Todos los datos de la tarjeta de crédito se guardan en un archivo encriptado, que posteriormente se enviará al servidor de los atacantes, lo que les permitirá realizar transacciones a través de un dispositivo PoS fraudulento registrado a nombre de una empresa falsa
Datos de la tarjeta de crédito capturados que se enviarán posteriormente al servidor del operador
De este modo, tras haber atacado un sistema PoS, los atacantes obtienen datos de docenas e incluso cientos de tarjetas diariamente. Es especialmente peligroso si las máquinas afectadas están situadas en centros comerciales populares de ciudades densamente pobladas, donde el flujo diario de clientes puede llegar a ser de miles de personas.
El esquema de la cadena de infección de Prilex
En la reciente investigación, los expertos de Kaspersky también han descubierto que el grupo Prilex está controlando el ciclo de vida de desarrollo de su malware utilizando Subversion, utilizado por equipos de desarrollo profesionales. Además, un supuesto sitio web oficial de Prilex está vendiendo los kits de su malware a otros ciberdelincuentes como Malware-as-a-Service. Prilex ha vendido previamente varias versiones de su malware en la darknet, por ejemplo, en 2019 un banco alemán perdió más de 1,5 millones de euros en un ataque similar del malware Prilex. Ahora, con la aparición de su operación MasS, las versiones altamente sofisticadas y peligrosas del malware PoS podrían extenderse a muchos países, y el riesgo de perder millones de dólares aumentaría para empresas de todo el mundo.
Los analistas de Kaspersky también descubrieron sitios web y chats de Telegram donde los ciberdelincuentes venden el malware Prilex. Haciéndose pasar por el propio grupo Prilex, ofrecen las últimas versiones del malware PoS, que cuestan entre 3.500 y 13.000 dólares. Los expertos de Kaspersky no se fían de la titularidad de estos sitios web, ya que pueden ser imitadores que intentan hacerse pasar por el grupo y robar dinero aprovechando su reciente fama.
Los ciberdelincuentes piden 3.500 dólares por el supuesto kit PoS de Prilex
«En las películas vemos a menudo cómo los atracadores irrumpen en un banco con una pistola en la mano, vacían la caja y huyen del lugar, llevándose una enorme bolsa de dinero. En el mundo real, sin embargo, los atracos a bancos se producen de forma muy distinta. Hoy en día, los delincuentes reales son muy sigilosos: suelen atacar de forma remota utilizando malware sin ningún contacto físico con el banco. Esto hace que sean mucho más difíciles de detectar, y hasta que los cajeros automáticos y los TPV estén suficientemente protegidos y actualizados, el número de amenazas e incidentes no hará más que aumentar», comenta Fabio Assolini, jefe del Equipo Global de Investigación y Análisis de América Latina (GReAT) de Kaspersky.
La familia Prilex se detecta en todos los productos Kaspersky como HEUR:Trojan.Win32.Prilex y HEUR:Trojan.Win64.Prilex.
Para protegerse de Prilex, Kaspersky recomienda:
- Utilizar una solución multicapa, que ofrezca una selección óptima de capas de protección para proporcionar el mejor nivel de seguridad posible para dispositivos de distinta potencia y con diferentes escenarios de implementación.
- Implementar técnicas de autoprotección en los módulos PoS con el objetivo de evitar que el código malicioso altere las transacciones gestionadas por dichos módulos.
- Asegure los sistemas más antiguos con una protección actualizada. Las soluciones deben estar optimizadas para ejecutarse con plena funcionalidad en las versiones más antiguas de Windows, así como en las familias más nuevas de este sistema. Esto asegura a la empresa que se le proporcionará un soporte total para las familias más antiguas en un futuro próximo, y le da la oportunidad de actualizarse en cualquier momento que lo necesite.
- Instalar una solución de seguridad que proteja los dispositivos de diferentes vectores de ataque.
- Para las instituciones financieras que son víctimas de este tipo de fraude, Kaspersky recomienda el Motor de Atribución de Amenazas para ayudar a los equipos de IR a encontrar y detectar archivos Prilex en los entornos atacados.
