A empresa de segurança cibernética Kaspersky descobriu três novas variantes do malware Prilex, que é projetado para fraude de cartão de crédito e há muito é considerado um avanço na ameaça dos pontos de venda (PDV). Novas pesquisas mostram que as mudanças recentes tornam o Prilex o primeiro malware do mundo capaz de bloquear pagamentos sem contato (via NFC) em dispositivos infectados. Ao bloquear a transação, o consumidor é obrigado a usar um cartão de crédito físico, possibilitando a transação fantasma relatada pela empresa de segurança cibernética no ano passado.
O que é segurança cibernética?
A segurança cibernética é o conjunto de técnicas e procedimentos usados para proteger informações, dados e sistemas computacionais de ataques cibernéticos. Esta área de segurança abrange tudo desde a proteção de redes e sistemas de computador ao gerenciamento de vulnerabilidades e incidentes de segurança, passando por dispositivos de segurança, criptografia, monitoramento de atividades e avaliação de riscos.
Prilex
O Prilex é um grupo brasileiro de fraude financeira que ganhou reputação por sua evolução gradual, passando de um malware de caixa eletrônico para um módulo sofisticado que realiza fraudes em PDV. Essa ameaça engana os pagamentos com cartão roubando dados importantes da transação para fazer uma nova transação fantasma (Ghost) usando outros dispositivos (de propriedade do criminoso). Mesmo em cartões com chip e senha, é possível cometer fraudes através deste sistema. Mas a Prilex conseguiu ir ainda mais longe.
Durante uma análise recente de um ambiente real contaminado com Prilex, os pesquisadores da Kaspersky descobriram três novas variantes capazes de bloquear transações sem contato (Cartão por aproximação), que se tornaram muito populares no Brasil e em outras partes do mundo durante e após a pandemia.
Novas medidas
Os sistemas tradicionais de pagamento sem contato, como cartões de débito e crédito, tags de segurança e outros dispositivos inteligentes, incluindo dispositivos móveis, usam identificação por radiofrequência (RFID). Mas, recentemente, Samsung Pay, Apple Pay, Google Pay, Fitbit Pay e aplicativos bancários móveis adotaram a tecnologia NFC para permitir transações sem contato.
Mesmo com essa salvaguarda, o Prilex aprendeu a evitar essas negociações e criou uma regra golpista. As informações do cartão de crédito devem ou não ser armazenadas e a capacidade de bloquear transações via NFC são determinadas por essas regras.
As transações NFC geram um número de cartão único para cada pagamento, que o Prilex usa para identificar e bloquear esse tipo de atividade. O PINpad “máquineta” exibe a seguinte mensagem após o bloqueio: “Erro de proximidade. Insira o cartão”.
Para deixar a fraude menos evidente, o vírus causa um erro de pagamento na máquina de cartão após o envio dos dados, obrigando o cliente a passar pelo processo novamente. Na segunda tentativa tudo corre bem e parece que foi apenas um problema rotineiro.
De acordo com Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky na América Latina, , a taxa de detecção desse vírus ainda não é alta, o que pode indicar que ele ainda está sendo testado.
Público alvo
“Por exemplo, o Prilex é muito direcionado, então eles não vão instalar vírus na padaria da esquina.. Preferem empresas que movimentam valores de expressão”, afirma.
Os cibercriminosos visam forçar a vítima a inserir um cartão físico no leitor para que o malware possa capturar os dados da transação, incluindo o número do cartão físico, e também pode capturar o criptograma para concluir a transação fantasma. Outra novidade nas últimas amostras do Prilex é a capacidade de filtrar cartões de crédito por segmentos e criar regras diferentes para segmentos diferentes. Eles podem bloquear o NFC e capturar dados apenas de cartões com limite alto, como Black, Infinite ou corporativos.
Os criminosos do Prilex contatam uma empresa comercial, se passam por funcionários de empresas de máquinas ou cartões para instalar o vírus. Eles precisam consertar os aparelhos e instruir a vítima a usar um site para instalar ferramenta de acesso remoto ao computador.
Como funciona na prática?
Se o TEF estiver infectado, a Prilex altera a rotina das máquinas conectadas ao terminal, seguindo o esquema de funcionamento do sistema de pagamento. Dessa forma, quando o cliente paga seu consumo com cartão no estabelecimento comercial. O malware rouba a chave de autenticação (conhecida como criptograma) verificando a primeira senha digitada, que sempre é gerada durante a primeira transação do cliente. Após o furto, o Prilex simula um erro de transação com o fim de solicitar que você digite novamente sua senha para pagar “como sempre”. Nem o consumidor nem a instituição percebem que a fraude ocorreu.
O módulo stealer controla estranhamente todos esses processos, dentre os três módulos do Prilex. Sua função é analisar o sistema de pagamentos para minimizar a movimentação de transações com cartão na instituição. “Se poucas transações no site, malware cancela golpe e grupo busca nova vítima, evidenciando profissionalismo.” esclarece Assolini.
Se o plano se concretizar. O Prilex executará o segundo módulo, conhecido como backdoor, a fim de realizar uma segunda análise, para encontrar o melhor esconderijo para o malware. Assolini revela que a equipe que fez a análise ficou surpresa com a complexidade do ataque. Este módulo adapta-se para que infecte de forma imperceptível aos antivírus e roubar por longo período
Assim, os criminosos enviam os dados financeiros furtados ou roubados usando o último módulo, o uploader.
Por certo, os criminosos fazem transações fantasmas utilizando o mesmo criptograma e valor em uma máquina cadastrada em seu nome.
