Últimas notícias

Fique informado

Ressurgimento do Prilex: malware brasileiro realiza fraudes fantasmas em cartões com chip, alerta a Kaspersky

1 de outubro de 2022

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Após um ano desaparecido, o grupo brasileiro especializado em fraudes com cartões com chip Prilex ressurge com um novo esquema malicioso: fraudes fantasmas

Esta ameaça teve origem em 2016 e atacava caixas automáticos. No mesmo ano, migrou para a clonagem de cartões com chip atacando os sistemas de pagamento (POs/TEF). Depois de um sumiço em 2021, o malware voltou com novas versões em 2022

A análise dos especialistas da Kaspersky destaca o conhecimento avançado dos criminosos sobre os sistemas de pagamentos e sua atuação meticulosa, que inclui uma escolha seletiva das vítimas e mecanismos para manter o golpe invisível por muito tempo. 

O sistema financeiro brasileiro é um dos mais modernos do mundo e também é um dos que mais investe em cibersegurança (um valor estimado em R$ 2.5 bilhões).

Apesar dos esforços, o grupo brasileiro que criou o Prilex tem conseguido roubar os dados de cartões de crédito e débito de muitas formas: alterando o software de TEF (EFT – Electronic Funds Transfer), além de manipular as portas de comunicação (serial ou USB) entre as máquinas e o sistema.

Para conseguir infectar as vítimas, o golpe usa táticas de engenharia social (lábia) para convencer os estabelecimentos comerciais a efetuar uma atualização de sistemas. 

“O Prilex é um golpe altamente direcionado. O grupo ronda o estabelecimento para avaliar sua movimentação, caso o alvo seja interessante, eles farão contato telefônico ou enviarão até um falso técnico para “atualizar” o sistema. O objetivo final é instalar um programa legítimo para permitir o acesso remoto do grupo e a instalação remota do Prilex” explica Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky na América Latina

Os especialistas da Kaspersky ainda revelaram que o novo malware mudou sua abordagem. Em 2018, ele explorava implementações incompletas do EMV (um padrão criado pela Europay, MasterCard e Visa para pagamentos eletrônicos seguros de débito e crédito) para roubar e clonar cartões para criar transações fraudulentas em nome das vítimas.

Já a versão de 2022, além de explorar a comunicação das portas de comunicação, realiza apenas uma transação fantasma. 

O esquema funciona da seguinte maneira: uma vez que o sistema de pagamento TEF está infectado, o Prilex alterará a rotina das máquinas que se conectarem no terminar infectado.

Dessa forma, quando um cliente está pagando seu consumo no estabelecimento com o cartão, a primeira inserção de senha é controlada pelo malware com o objetivo de roubar a chave de autenticação (chamada de criptograma) que é gerada sempre na primeira transação do cliente.

Após o roubo, o Prilex simulará um erro na transação para poder solicitar a inserção da senha novamente para concluir “normalmente” o pagamento. Nem o consumidor nem o estabelecimento percebem que a fraude foi realizada. 

É curioso que todos esses processos são comandados por apenas um dos três módulos do Prilex, o stealer.

Ele ainda é responsável por realizar uma análise complementar do sistema de pagamentos para confirmar que o estabelecimento tem uma movimentação mínima de transações com cartão.

Caso o malware perceba que no estabelecimento há poucas transações, o golpe é cancelado e o grupo buscará uma nova vítima. Isso mostra o grau de profissionalismo da gangue”, explica Assolini

Caso o esquema avance, o segundo módulo do Prilex, o backdoor, fará uma segunda análise do equipamento para encontrar o melhor esconderijo para o malware.

Assolini revela que a equipe que realizou a análise se surpreendeu com o grau de sofisticação do ataque, pois esse módulo tem a capacidade de ajustar a maneira que a infecção ocorre, visando garantir que o malware não seja identificado pelo antivírus e possa realizar o roubo por muito tempo.

Já o último módulo, uploader, é o responsável por enviar as informações financeiras roubadas para os criminosos.

Com elas, são realizadas as transações fantasmas que usam o mesmo criptograma e o mesmo valor, porém elas são feitas em uma máquina registrada no nome dos criminosos. 

Por fim, a análise dos especialistas da Kaspersky revelou que o Prilex também está atuando no modelo de Malware como serviço (MaaS), no qual os criadores vendem o Prilex para grupos que irão operacionalizar os ataques.

Em 2019, identificou-se ofertas no valor de US$ 3.500,00 e, mais recentemente, foi encontrado uma suposta oferta de US$ 13.000,00 – que ainda está sob apuração. “Se este novo valor se confirmar, temos um indicação forte do quão lucrativo essa nova abordagem é para os criminosos”, comenta o diretor da Kaspersky. 

Os detalhes técnicos e índices de comprometimentos da ameaça estão disponíveis para todas as instituições que tenham acesso ao Portal de Threat Intelligence da Kaspersky.

Sobre a Kaspersky

A Kaspersky é uma empresa internacional de cibersegurança e privacidade digital fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro.

O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 240.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais no site da empresa. 

Cyber Security: saiba o que faz um profissional de cibersegurança

Movimento CyberTech Brasil apresenta hub digital e programa de inovação para startups de cibersegurança

Energia: 6 em cada 10 executivos reconhecem que suas organizações estão vulneráveis a ataques cibernéticos

Crypto ID Entrevista: Sergio Muniz sobre Ransomware, Gestão de Acessos e MFA – Thales Brasil

27ago(ago 27)09:0028(ago 28)18:00CISO Forum 2024O encontro Premier para líderes visionários em Segurança da Informação e Cibersegurança09:00 - 18:00 (28)

Cadastre-se para receber o IDNews

E acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!