Após um ano desaparecido, o grupo brasileiro especializado em fraudes com cartões com chip Prilex ressurgiu com um novo esquema malicioso: fraudes fantasmas.
A análise dos nossos especialistas destaca o conhecimento avançado dos criminosos sobre os sistemas de pagamentos e sua atuação meticulosa, que inclui uma escolha seletiva das vítimas e mecanismos para manter o golpe invisível por muito tempo.
Como funciona o Prilex?
O sistema financeiro brasileiro é um dos mais modernos do mundo e também é um dos que mais investe em cibersegurança (um valor estimado em R$ 2.5 bilhões).
Apesar dos esforços contra ameaças, o grupo brasileiro que criou o Prilex tem conseguido roubar os dados de cartões de crédito e débito de muitas formas: alterando o software de TEF (EFT – Electronic Funds Transfer), além de manipular as portas de comunicação (serial ou USB) entre as máquinas e o sistema.
Para conseguir infectar as vítimas, o golpe usa táticas de engenharia social (lábia) para convencer os estabelecimentos comerciais a efetuar uma atualização de sistemas.
“O Prilex é um golpe altamente direcionado. O grupo ronda o estabelecimento para avaliar sua movimentação, caso o alvo seja interessante, eles farão contato telefônico ou enviarão até um falso técnico para “atualizar” o sistema. O objetivo final é instalar um programa legítimo para permitir o acesso remoto do grupo e a instalação remota do Prilex” explica Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky na América Latina.
A evolução do golpe
Nossos especialistas mostraram que o novo malware mudou sua abordagem. Em 2018, ele explorava implementações incompletas do EMV (um padrão criado pela Europay, MasterCard e Visa para pagamentos eletrônicos seguros de débito e crédito) para roubar e clonar cartões para criar transações fraudulentas em nome das vítimas. Já a versão de 2022, além de explorar as portas de comunicação, realiza apenas uma transação fantasma.
O esquema funciona assim: uma vez que o sistema de pagamento TEF está infectado, o Prilex alterará a rotina das máquinas que se conectarem no terminal infectado. Dessa forma, quando um cliente está pagando seu consumo no estabelecimento com o cartão, a primeira inserção de senha é controlada pelo malware com o objetivo de roubar a chave de autenticação (chamada de criptograma) que é gerada sempre na primeira transação do cliente. Após o roubo, o Prilex simulará um erro na transação para poder solicitar a inserção da senha novamente para concluir “normalmente” o pagamento. Nem o consumidor nem o estabelecimento percebem que a fraude foi realizada.
É curioso que todos esses processos são comandados por apenas um dos três módulos do Prilex, o stealer. Ele ainda é responsável por realizar uma análise complementar do sistema de pagamentos para confirmar que o estabelecimento tem uma movimentação mínima de transações com cartão. “Caso o malware perceba que no estabelecimento há poucas transações, o golpe é cancelado e o grupo buscará uma nova vítima. Isso mostra o grau de profissionalismo da gangue”, explica Assolini.
Caso o esquema avance, o segundo módulo do Prilex, o backdoor, fará uma segunda análise do equipamento para encontrar o melhor esconderijo para o malware. Assolini revela que a equipe que realizou a análise se surpreendeu com o grau de sofisticação do ataque, pois esse módulo tem a capacidade de ajustar a maneira que a infecção ocorre, visando garantir que o malware não seja identificado pelo antivírus e possa realizar o roubo por muito tempo. Já o último módulo, uploader, é o responsável por enviar as informações financeiras roubadas para os criminosos. Com elas, são realizadas as transações fantasmas que usam o mesmo criptograma e o mesmo valor, porém elas são feitas em uma máquina registrada no nome dos criminosos.
Golpe à venda
Não satisfeitos em efetuar o golpe diretamente, os criminosos “escalaram” a sua atuação. A análise dos nossos especialistas revelou que o Prilex também está atuando no modelo de Malware como serviço (MaaS), no qual os criadores vendem o Prilex para grupos que irão operacionalizar os ataques. Em 2019, identificou-se ofertas no valor de US$ 3.500,00 e, mais recentemente, foi encontrado uma suposta oferta de US$ 13.000,00 – que ainda está sob apuração. “Se este novo valor se confirmar, temos um indicação forte do quão lucrativo essa nova abordagem é para os criminosos”, comenta o diretor da Kaspersky.
Confira o relatório completo dos nossos especialistas sobre o Prilex (disponível em inglês).
Os detalhes técnicos e índices de comprometimentos da ameaça estão disponíveis para todas as instituições que tenham acesso ao Portal de Threat Intelligence da Kaspersky.