Un notorio punto de venta (PoS (se abre en una pestaña nueva) ) el malware ha resurgido después de un paréntesis de un año y ahora es más peligroso que nunca, afirman los investigadores.
Los expertos de Kaspersky afirman haber visto tres nuevas versiones del malware Prilex, que ahora viene con características avanzadas que lo ayudan a eludir los bloqueadores de fraude contemporáneos.
Kaspersky dice que Prilex ahora puede generar criptogramas EMV, una característica que Visa introdujo hace tres años como medio para validar transacciones y prevenir pagos fraudulentos.
Adversarios hábiles
EMV está en uso por Europay, MasterCard y Visa (de ahí el nombre EMV), y además, los actores de amenazas pueden usar el criptograma EMV para ejecutar "transacciones GHOST", incluso con las tarjetas protegidas por tecnologías CHIP y PIN.
“En los ataques GHOST realizados por las versiones más nuevas de Prilex, solicita nuevos criptogramas EMV después de capturar la transacción”, que luego se utilizan en las transacciones, dijo Kaspersky.
Además, Prilex, que se detectó por primera vez en 2014 como un malware solo para cajeros automáticos y se cambió a PoS dos años después, también viene con ciertas funciones de puerta trasera, como ejecutar código, finalizar procesos, editar el registro, tomar capturas de pantalla, etc. .
“El grupo Prilex ha demostrado un alto nivel de conocimiento sobre las transacciones con tarjetas de crédito y débito, y cómo funciona el software utilizado para el procesamiento de pagos”, agregó Kaspersky. “Esto permite a los atacantes seguir actualizando sus herramientas para encontrar una manera de eludir las políticas de autorización, lo que les permite realizar sus ataques”.
Cómo instalar malware en puntos finales de PoS (se abre en una pestaña nueva) aunque no es tan fácil. Los actores de amenazas necesitan acceso físico al dispositivo o deben engañar a las víctimas para que instalen el malware ellos mismos. Los atacantes generalmente se hacen pasar por técnicos del proveedor de PoS, dijo Kaspersky, y afirman que el dispositivo necesita su software/firmware actualizado.
Una vez que se instala el malware, los actores de amenazas monitorearían las transacciones para ver si hay suficiente volumen para que valga la pena.
Vía: BleepingComputer (se abre en una pestaña nueva)