Seguridad TI

Prilex: Todo lo que necesitas saber de este malware que roba de datos

Durante la 10°Cumbre Global de Analistas de Seguridad que se está celebrando en Cancún, los investigadores de Kaspersky Lab divulgaron que la primera aparición relevante del grupo Prilex estuvo relacionada con un ataque a cajeros automáticos que buscaba bancos ubicados, principalmente en territorio brasileño.

En ese momento, los criminales usaban un dispositivo de caja negra configurado con un módem USB 4G para controlar remotamente la máquina. Al abrir una puerta trasera para el atacante, ellos tenían la posibilidad de secuestrar la conexión inalámbrica de la institución y controlar otros cajeros automáticos a su voluntad.

Con el paso del tiempo, el grupo detrás del malware Prilex ha migrado sus esfuerzos hacia los sistemas de punto de venta desarrollados por proveedores brasileños, utilizando la información robada de tarjetas de crédito para permitir la creación de una nueva totalmente funcional, habilitada inclusive para transacciones protegidas con la medida de seguridad conocida como ‘chip y PIN’. Todo esto le permite al criminal realizar transacciones fraudulentas en cualquier tienda, ya sea en línea o fuera de línea.


La tarjeta de crédito clonada funciona en cualquier sistema de punto de venta en Brasil debido a una implementación incorrecta del estándar EMV (especificación creada por Europay, MasterCard y Visa, para pagos electrónicos seguros de débito y crédito), donde no todos los datos son verificados durante el proceso de aprobación.

Aunque estos ataques han ocurrido en el pasado, hasta el momento, es la primera vez que un conjunto tan completo de funciones se encuentra en ese ámbito, sobre todo dirigido a comerciantes brasileños.

Todo el proceso que implica el robo de la información hasta la creación de la tarjeta falsa es tomado en cuenta por Prilex, de forma fácil y directa.

Actualmente, la evidencia de la investigación indica que el malware se está distribuyendo a través de un mensaje de correo convencional que, convence a las víctimas a descargar una actualización de un servidor remoto – el cual es controlado por los criminales. Las víctimas suelen ser tiendas tradicionales, como gasolineras, supermercados y mercados típicos de venta al por menor; y, todas ellas, ubicadas en diferentes estados de Brasil.

 

 

Cómo funciona el ataque

Para tener una idea, hay tres componentes que forman parte del Prilex: un malware que modifica  el sistema del punto de venta e intercepta la información de las tarjetas de crédito; un servidor utilizado para administrar la información obtenida ilegalmente; y una aplicación de usuario que el “cliente” del malware utiliza para ver, clonar o guardar estadísticas relacionadas a las tarjetas.

El malware fue desarrollado con el objetivo de leer cierta información de las tarjetas de crédito y débito procesadas por el punto de venta, para luego así utilizar esta información y generar nuevas tarjetas que serán utilizadas en transacciones fraudulentas.

La novedad de este malware radica en su modelo de negocios en donde todas las necesidades del usuario son tomadas en cuenta, ofreciendo una interfaz simple y amigable para la operación delictiva. Además, Prilex permite la generación de tarjetas con chip y PIN, las cuales son útiles en cualquier tipo de operación de compra de bienes y servicios en diferentes comercios.

La evolución de su código, aunque no es técnicamente notable, fue aparentemente suficiente para mantener un flujo de ingresos constante, permitiendo perfeccionar lentamente su modelo de negocios.

El análisis de “Daphne”, un módulo para hacer uso de la información financiera adquirida ilícitamente y su esquema de afiliados sugiere que éste es un grupo “orientado al cliente”, con muchos niveles en su cadena de desarrollo; parecido a lo que se vio, por ejemplo, en el popular malware Ploutus y otras amenazas financieras regionales.

El equipo detrás del desarrollo de Prilex, muestra rastros de actividad desde al menos el año 2014. El grupo mostró ser altamente versátil con el objetivo principal de atacar usuarios e instituciones brasileñas.

Además, la preferencia por el sector financiero o minorista refuerza la creencia de que la principal motivación detrás de sus campañas tiene un fin monetario.

Fraude en números

En este momento, es posible suponer que casi todas las credenciales de los usuarios y/o la información de sus tarjetas fueron comprometidas en algún momento.

El mercado ilegal relacionado al tráfico de información del usuario ha madurado tanto que es muy difícil diferenciarla de una economía legítima. De todos los titulares de tarjetas -débito, crédito y prepago- 30% sufrió fraude en los últimos cinco años, lo que representa una parte significativa.

En 2016, México obtuvo el título de ‘campeón’ del fraude en tarjetas de crédito, con 56% de sus habitantes que aseguran haber sufrido este tipo de fraude en los últimos 5 años.

Brasil ocupa el segundo lugar (49%) y, en tercer lugar, Estados Unidos (47%). Aproximadamente 65% de las veces, el fraude de tarjeta de crédito da lugar a una pérdida financiera directa o indirecta para la víctima.

Estas pérdidas individuales varían ampliamente, pero en 2014, la pérdida promedio (tanto directa como indirecta) reportada por incidencia de fraude fue de $300 dólares; ahora la pérdida promedio reportada fue de $1,343 dólares.

En cuanto a los fraudes de tarjetas de débito, el ranking cambió un poco: México tuvo la mayor tasa de fraude con 34%, seguida por Brasil (25%), India (23%) y Francia (22%), de acuerdo con el 2016 Global Consumer Card Fraud: Where Card Fraud Is, ACI Universal Payments.

 

2 Comments

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>