Após um ano desaparecido, o grupo brasileiro especializado em fraudes com cartões com chip Prilex ressurge com um novo esquema malicioso: fraudes fantasmas. A análise dos especialistas da Kaspersky destaca o conhecimento avançado dos criminosos sobre os sistemas de pagamentos e sua atuação meticulosa, que inclui uma escolha seletiva das vítimas e mecanismos para manter o golpe invisível por muito tempo.
O sistema financeiro brasileiro é um dos mais modernos do mundo e também é um dos que mais investe em cibersegurança (um valor estimado em R? 2.5 bilhões).
Apesar dos esforços, o grupo brasileiro que criou o Prilex tem conseguido roubar os dados de cartões de crédito e débito de muitas formas: alterando o software de TEF (EFT – Electronic Funds Transfer), além de manipular as portas de comunicação (serial ou USB) entre as máquinas e o sistema.
Para conseguir infectar as vítimas, o golpe usa táticas de engenharia social (lábia) para convencer os estabelecimentos comerciais a efetuar uma atualização de sistemas. "O Prilex é um golpe altamente direcionado. O grupo ronda o estabelecimento para avaliar sua movimentação, caso o alvo seja interessante, eles farão contato telefônico ou enviarão até um falso técnico para "atualizar" o sistema. O objetivo final é instalar um programa legítimo para permitir o acesso remoto do grupo e a instalação remota do Prilex" explica Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky na América Latina.
Os especialistas da Kaspersky ainda revelaram que o novo malware mudou sua abordagem. Em 2018, ele explorava implementações incompletas do EMV (um padrão criado pela Europay, MasterCard e Visa para pagamentos eletrônicos seguros de débito e crédito) para roubar e clonar cartões para criar transações fraudulentas em nome das vítimas. Já a versão de 2022, além de explorar a comunicação das portas de comunicação, realiza apenas uma transação fantasma.
O esquema funciona da seguinte maneira: uma vez que o sistema de pagamento TEF está infectado, o Prilex alterará a rotina das máquinas que se conectarem no terminar infectado. Dessa forma, quando um cliente está pagando seu consumo no estabelecimento com o cartão, a primeira inserção de senha é controlada pelo malware com o objetivo de roubar a chave de autenticação (chamada de criptograma) que é gerada sempre na primeira transação do cliente. Após o roubo, o Prilex simulará um erro na transação para poder solicitar a inserção da senha novamente para concluir "normalmente" o pagamento. Nem o consumidor nem o estabelecimento percebem que a fraude foi realizada.
Esquema do Prilex: da infecção ao roubo
É curioso que todos esses processos são comandados por apenas um dos três módulos do Prilex, o stealer. Ele ainda é responsável por realizar uma análise complementar do sistema de pagamentos para confirmar que o estabelecimento tem uma movimentação mínima de transações com cartão. "Caso o malware perceba que no estabelecimento há poucas transações, o golpe é cancelado e o grupo buscará uma nova vítima. Isso mostra o grau de profissionalismo da gangue", explica Assolini.
Caso o esquema avance, o segundo módulo do Prilex, o backdoor, fará uma segunda análise do equipamento para encontrar o melhor esconderijo para o malware. Assolini revela que a equipe que realizou a análise se surpreendeu com o grau de sofisticação do ataque, pois esse módulo tem a capacidade de ajustar a maneira que a infecção ocorre, visando garantir que o malware não seja identificado pelo antivírus e possa realizar o roubo por muito tempo. Já o último módulo, uploader, é o responsável por enviar as informações financeiras roubadas para os criminosos. Com elas, são realizadas as transações fantasmas que usam o mesmo criptograma e o mesmo valor, porém elas são feitas em uma máquina registrada no nome dos criminosos.
Por fim, a análise dos especialistas da Kaspersky revelou que o Prilex também está atuando no modelo de Malware como serviço (MaaS), no qual os criadores vendem o Prilex para grupos que irão operacionalizar os ataques. Em 2019, identificou-se ofertas no valor de US? 3.500,00 e, mais recentemente, foi encontrado uma suposta oferta de US? 13.000,00 — que ainda está sob apuração. "Se este novo valor se confirmar, temos um indicação forte do quão lucrativo essa nova abordagem é para os criminosos", comenta o diretor da Kaspersky.