Malware brasileiro Prilex ressurge realizando fraudes fantasmas em cartões com chip, alerta a Kaspersky

0

Após um ano desaparecido, o grupo brasileiro especializado em fraudes com cartões com chip Prilex ressurge com um novo esquema malicioso: fraudes fantasmas. A análise dos especialistas da Kaspersky destaca o conhecimento avançado dos criminosos sobre os sistemas de pagamentos e sua atuação meticulosa, que inclui uma escolha seletiva das vítimas e mecanismos para manter o golpe invisível por muito tempo.

O sistema financeiro brasileiro é um dos mais modernos do mundo e também é um dos que mais investe em cibersegurança (um valor estimado em R? 2.5 bilhões).

Apesar dos esforços, o grupo brasileiro que criou o Prilex tem conseguido roubar os dados de cartões de crédito e débito de muitas formas: alterando o software de TEF (EFT – Electronic Funds Transfer), além de manipular as portas de comunicação (serial ou USB) entre as máquinas e o sistema.

Para conseguir infectar as vítimas, o golpe usa táticas de engenharia social (lábia) para convencer os estabelecimentos comerciais a efetuar uma atualização de sistemas. "O Prilex é um golpe altamente direcionado. O grupo ronda o estabelecimento para avaliar sua movimentação, caso o alvo seja interessante, eles farão contato telefônico ou enviarão até um falso técnico para "atualizar" o sistema. O objetivo final é instalar um programa legítimo para permitir o acesso remoto do grupo e a instalação remota do Prilex" explica Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky na América Latina.

Os especialistas da Kaspersky ainda revelaram que o novo malware mudou sua abordagem. Em 2018, ele explorava implementações incompletas do EMV (um padrão criado pela Europay, MasterCard e Visa para pagamentos eletrônicos seguros de débito e crédito) para roubar e clonar cartões para criar transações fraudulentas em nome das vítimas. Já a versão de 2022, além de explorar a comunicação das portas de comunicação, realiza apenas uma transação fantasma.

O esquema funciona da seguinte maneira: uma vez que o sistema de pagamento TEF está infectado, o Prilex alterará a rotina das máquinas que se conectarem no terminar infectado. Dessa forma, quando um cliente está pagando seu consumo no estabelecimento com o cartão, a primeira inserção de senha é controlada pelo malware com o objetivo de roubar a chave de autenticação (chamada de criptograma) que é gerada sempre na primeira transação do cliente. Após o roubo, o Prilex simulará um erro na transação para poder solicitar a inserção da senha novamente para concluir "normalmente" o pagamento. Nem o consumidor nem o estabelecimento percebem que a fraude foi realizada.

Esquema do Prilex: da infecção ao roubo

É curioso que todos esses processos são comandados por apenas um dos três módulos do Prilex, o stealer. Ele ainda é responsável por realizar uma análise complementar do sistema de pagamentos para confirmar que o estabelecimento tem uma movimentação mínima de transações com cartão. "Caso o malware perceba que no estabelecimento há poucas transações, o golpe é cancelado e o grupo buscará uma nova vítima. Isso mostra o grau de profissionalismo da gangue", explica Assolini.

Caso o esquema avance, o segundo módulo do Prilex, o backdoor, fará uma segunda análise do equipamento para encontrar o melhor esconderijo para o malware. Assolini revela que a equipe que realizou a análise se surpreendeu com o grau de sofisticação do ataque, pois esse módulo tem a capacidade de ajustar a maneira que a infecção ocorre, visando garantir que o malware não seja identificado pelo antivírus e possa realizar o roubo por muito tempo. Já o último módulo, uploader, é o responsável por enviar as informações financeiras roubadas para os criminosos. Com elas, são realizadas as transações fantasmas que usam o mesmo criptograma e o mesmo valor, porém elas são feitas em uma máquina registrada no nome dos criminosos.

Por fim, a análise dos especialistas da Kaspersky revelou que o Prilex também está atuando no modelo de Malware como serviço (MaaS), no qual os criadores vendem o Prilex para grupos que irão operacionalizar os ataques. Em 2019, identificou-se ofertas no valor de US? 3.500,00 e, mais recentemente, foi encontrado uma suposta oferta de US? 13.000,00 — que ainda está sob apuração. "Se este novo valor se confirmar, temos um indicação forte do quão lucrativo essa nova abordagem é para os criminosos", comenta o diretor da Kaspersky.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.