Las etiquetas NFC son transpondedores RFID que operan a 13.56 MHz. Son pequeños chips (circuitos integrados) conectados a una antena. El chip tiene un código único y una parte de la memoria regrabable. La antena permite que el chip interactúe con un reproductor de NFC, como un teléfono inteligente con tecnología NFC.
Los actores de amenazas brasileños detras de un malware de punto de venta (PoS) avanzado y modular conocido como Prilex han vuelto a asomar la cabeza con nuevas actualizaciones que le permiten bloquear transacciones de pago sin contacto.
La firma rusa de ciberseguridad Kaspersky dijo que detectó tres versiones de Prilex (06.03.8080, 06.03.8072 y 06.03.8070) que son capaces de apuntar a tarjetas de crédito habilitadas para NFC, lo que lleva su esquema criminal un nivel mas alto.
Habiendo evolucionado del malware centrado en cajeros automaticos al malware de PoS a lo largo de los años desde que entró en funcionamiento en 2014, el actor de amenazas incorporó constantemente nuevas funciones diseñadas para facilitar el fraude con tarjetas de crédito, incluida una técnica llamada transacciones GHOST .
Si bien los pagos sin contacto han tenido un gran auge, en parte debido a la pandemia de COVID-19, el motivo subyacente detras de la nueva funcionalidad es deshabilitar la función para obligar al usuario a insertar la tarjeta en el teclado PIN.
Con ese fin, se descubrió que la última versión de Prilex, que Kaspersky descubrió en noviembre de 2022, implementa una lógica basada en reglas para determinar si capturar o no la información de la tarjeta de crédito junto con una opción para bloquear transacciones basadas en NFC.
Esto se debe al hecho de que las transacciones basadas en NFC a menudo generan una identificación única o un número de tarjeta valido para una sola transacción , dijeron los investigadores.
Si una transacción basada en NFC de este tipo es detectada y bloqueada por el malware instalado en el terminal PoS infectado, el lector de PIN muestra un mensaje de error falso: Error sin contacto, inserte su tarjeta .
Esto lleva a la víctima a usar su tarjeta física insertandola en el lector de PIN, lo que permite que los atacantes cometan fraude. Otra característica nueva agregada a los artefactos es la capacidad de filtrar tarjetas de crédito por segmentos y crear reglas adaptadas a esos niveles.
Estas reglas pueden bloquear NFC y capturar datos de la tarjeta solo si la tarjeta es Black/Infinite, Corporate u otro nivel con un límite de transacción alto, lo que es mucho mas atractivo que las tarjetas de crédito estandar con un saldo/límite bajo , señalaron los investigadores. .
Dado que los datos de transacción generados durante un pago sin contacto son inútiles desde la perspectiva de un ciberdelincuente, es comprensible que Prilex necesite obligar a las víctimas a insertar la tarjeta en el terminal PoS infectado .
FUENTE: THN