Un agente de amenazas ha utilizado dos variantes de malware para puntos de venta (PoS) para robar información relacionada con más de 167.000 tarjetas de crédito de los terminales de pago.

Según la empresa de ciberseguridad Group-IB, con sede en Singapur, los datos robados podrían reportar a los operadores hasta $3,34 millones USD al venderlos en foros clandestinos.

Aunque una parte importante de los ataques destinados a recopilar datos de pago se basan en sniffers de JavaScript (también conocidos como web skimmers) insertados sigilosamente en sitios web de comercio electrónico, el malware de TPV sigue siendo una amenaza constante, aunque menos popular.

Justo el mes pasado, Kaspersky detalló las nuevas tácticas adoptadas por un actor de amenazas brasileño conocido como Prilex para robar dinero mediante transacciones fraudulentas.

"Casi todas las cepas de malware PoS tienen una funcionalidad similar de extracción de volcado de tarjetas, pero diferentes métodos para mantener la persistencia en los dispositivos infectados, la exfiltración de datos y el procesamiento", dijeron los investigadores Nikolay Shelekhov y Said Khamchiev.

Treasure Hunter y su sucesor avanzado, MajikPOS, se parecen en que están diseñados para introducirse por la fuerza bruta en un terminal de punto de venta o para comprar el acceso inicial a otras partes conocidas como intermediarios de acceso inicial, seguido de la extracción de la información de las tarjetas de pago de la memoria del sistema y su envío a un servidor remoto.

Cabe destacar que, MajikPOS salió a la luz por primera vez a principios de 2017, afectando principalmente a negocios de Estados Unidos y Canadá. Treasure Hunter (también conocido como TREASUREHUNT), por otro lado, ha sido objeto de crónicas desde 2014 y su código fuente sufrió una filtración en 2018.

Group-IB, que identificó los servidores de comando y control (C2) asociados con los dos malware PoS, dijo que 77,428 y 90,024 registros de pago únicos fueron comprometidos por MajikPOS y Treasure Hunter entre febrero y septiembre de 2022.

La mayoría de las tarjetas robadas habrían sido emitidas por bancos de Estados Unidos, Puerto Rico, Perú, Panamá, Reino Unido, Canadá, Francia, Polonia, Noruega y Costa Rica.

Se desconoce la identidad de los delincuentes que están detrás de la trama y actualmente no está claro si los datos robados ya han sido vendidos por el grupo para obtener ganancias monetarias.

Esto puede tener graves consecuencias si los bancos emisores de tarjetas no aplican los mecanismos de protección adecuados, lo que permitiría a los malos actores emplear tarjetas clonadas para retirar fondos de forma ilícita y realizar transacciones no autorizadas.

"En los últimos años, los programas maliciosos para el pago con tarjeta se han vuelto menos atractivos para los delincuentes debido a algunas de sus limitaciones y a las medidas de seguridad aplicadas en el sector de los pagos con tarjeta", afirman los investigadores.

"Sin embargo, sigue siendo una amenaza importante para el sector de los pagos en su conjunto y para las empresas independientes que aún no han implantado las últimas prácticas de seguridad. Es demasiado pronto para descartar el malware para TPV".