Após um ano desaparecido, o grupo brasileiro especializado em fraudes com cartões com chip Prilex ressurge com um novo esquema malicioso: fraudes fantasmas
Esta ameaça teve origem em 2016 e atacava caixas automáticos. No mesmo ano, migrou para a clonagem de cartões com chip atacando os sistemas de pagamento (POs/TEF). Depois de um sumiço em 2021, o malware voltou com novas versões em 2022
A análise dos especialistas da Kaspersky destaca o conhecimento avançado dos criminosos sobre os sistemas de pagamentos e sua atuação meticulosa, que inclui uma escolha seletiva das vítimas e mecanismos para manter o golpe invisível por muito tempo.
O sistema financeiro brasileiro é um dos mais modernos do mundo e também é um dos que mais investe em cibersegurança (um valor estimado em R$ 2.5 bilhões).
Apesar dos esforços, o grupo brasileiro que criou o Prilex tem conseguido roubar os dados de cartões de crédito e débito de muitas formas: alterando o software de TEF (EFT – Electronic Funds Transfer), além de manipular as portas de comunicação (serial ou USB) entre as máquinas e o sistema.
Para conseguir infectar as vítimas, o golpe usa táticas de engenharia social (lábia) para convencer os estabelecimentos comerciais a efetuar uma atualização de sistemas.
“O Prilex é um golpe altamente direcionado. O grupo ronda o estabelecimento para avaliar sua movimentação, caso o alvo seja interessante, eles farão contato telefônico ou enviarão até um falso técnico para “atualizar” o sistema. O objetivo final é instalar um programa legítimo para permitir o acesso remoto do grupo e a instalação remota do Prilex” explica Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky na América Latina.
Os especialistas da Kaspersky ainda revelaram que o novo malware mudou sua abordagem. Em 2018, ele explorava implementações incompletas do EMV (um padrão criado pela Europay, MasterCard e Visa para pagamentos eletrônicos seguros de débito e crédito) para roubar e clonar cartões para criar transações fraudulentas em nome das vítimas.
Já a versão de 2022, além de explorar a comunicação das portas de comunicação, realiza apenas uma transação fantasma.
O esquema funciona da seguinte maneira: uma vez que o sistema de pagamento TEF está infectado, o Prilex alterará a rotina das máquinas que se conectarem no terminar infectado.
Dessa forma, quando um cliente está pagando seu consumo no estabelecimento com o cartão, a primeira inserção de senha é controlada pelo malware com o objetivo de roubar a chave de autenticação (chamada de criptograma) que é gerada sempre na primeira transação do cliente.
Após o roubo, o Prilex simulará um erro na transação para poder solicitar a inserção da senha novamente para concluir “normalmente” o pagamento. Nem o consumidor nem o estabelecimento percebem que a fraude foi realizada.
É curioso que todos esses processos são comandados por apenas um dos três módulos do Prilex, o stealer.
Ele ainda é responsável por realizar uma análise complementar do sistema de pagamentos para confirmar que o estabelecimento tem uma movimentação mínima de transações com cartão.
“Caso o malware perceba que no estabelecimento há poucas transações, o golpe é cancelado e o grupo buscará uma nova vítima. Isso mostra o grau de profissionalismo da gangue”, explica Assolini.
Caso o esquema avance, o segundo módulo do Prilex, o backdoor, fará uma segunda análise do equipamento para encontrar o melhor esconderijo para o malware.
Assolini revela que a equipe que realizou a análise se surpreendeu com o grau de sofisticação do ataque, pois esse módulo tem a capacidade de ajustar a maneira que a infecção ocorre, visando garantir que o malware não seja identificado pelo antivírus e possa realizar o roubo por muito tempo.
Já o último módulo, uploader, é o responsável por enviar as informações financeiras roubadas para os criminosos.
Com elas, são realizadas as transações fantasmas que usam o mesmo criptograma e o mesmo valor, porém elas são feitas em uma máquina registrada no nome dos criminosos.
Por fim, a análise dos especialistas da Kaspersky revelou que o Prilex também está atuando no modelo de Malware como serviço (MaaS), no qual os criadores vendem o Prilex para grupos que irão operacionalizar os ataques.
Em 2019, identificou-se ofertas no valor de US$ 3.500,00 e, mais recentemente, foi encontrado uma suposta oferta de US$ 13.000,00 – que ainda está sob apuração. “Se este novo valor se confirmar, temos um indicação forte do quão lucrativo essa nova abordagem é para os criminosos”, comenta o diretor da Kaspersky.
Os detalhes técnicos e índices de comprometimentos da ameaça estão disponíveis para todas as instituições que tenham acesso ao Portal de Threat Intelligence da Kaspersky.
Sobre a Kaspersky
A Kaspersky é uma empresa internacional de cibersegurança e privacidade digital fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro.
O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 240.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais no site da empresa.
Cyber Security: saiba o que faz um profissional de cibersegurança
Crypto ID Entrevista: Sergio Muniz sobre Ransomware, Gestão de Acessos e MFA – Thales Brasil
Cadastre-se para receber o IDNews
E acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!