Prilex é um grupo brasileiro especializado em fraudes financeiras que ganhou notoriedade por sua evolução gradativa, migrando de um malware de caixas eletrônicos (ATMs) para um modular avançado que realiza fraudes em pontos de venda (PDV). Essa ameaça frauda pagamentos com cartão, ao roubar dados importantes da transação para efetuar uma nova transação fantasma (GHOST, em inglês) usando outro equipamento (este, de propriedade do criminoso). Este esquema permite realizar golpes mesmo em cartões protegidos por chip e senha.

Recentemente, durante uma análise em um ambiente real infectado pelo Prilex, pesquisadores da Kaspersky encontraram três novas modificações com capacidade de bloquear as transações de pagamento por aproximação, que se tornaram extremamente populares no Brasil e no mundo durante e após a pandemia.

Quer saber tudo sobre Universo Sugar? Clique aqui e compre o e-book O Guia dos Sugar Daddy & Sugar Babies por apenas R$ 10

Os sistemas de pagamento contactless tradicionais, como cartões de débito e de crédito, tags de segurança e outros dispositivos inteligentes, inclusive dispositivos móveis, usam a identificação por radiofrequência (RFID). Mas, recentemente, Samsung Pay, Apple Pay, Google Pay, Fitbit Pay e aplicativos móveis de bancos implementaram a tecnologia NFC para possibilitar transações sem contato.

Mesmo com essa medida de proteção, o Prilex aprendeu a impedir essas transações, criando uma regra na execução do golpe. Essas regras especificam se as informações do cartão de crédito devem ou não ser capturadas e a opção de bloquear transações por NFC.

Transações NFC criam um número de cartão único para cada pagamento, esse detalhe que o Prilex usa para detectar este tipo de operação e bloqueá-la. O PINpad ou a “maquininha” apresentará a seguinte mensagem após o bloqueio: “Erro de aproximação. Insira o cartão”.

O objetivo dos cibercriminosos é forçar a vítima inserir o cartão físico no leitor, de modo que o malware possa capturar os dados da transação, incluindo o número do cartão físico, além de poder capturar o criptograma para efetuar a transação GHOST. Outra novidade nas amostras mais recentes do Prilex é a possibilidade de filtrar cartões de crédito de acordo com seu segmento e criar regras diferentes para segmentos diversos. Por exemplo, eles podem bloquear o NFC e capturar dados do cartão somente se o cartão for Black/Infinite, corporativo, ou outro com limite de transações alto – que são mais atraentes que os cartões de crédito com saldo ou limite baixo.

“Os pagamentos por aproximação fazem parte de nossa rotina e as estatísticas mostram que o segmento de varejo lidera a lista com uma participação superior a 59% da receita global de pagamentos contactless em 2021. Essas transações são extremamente convenientes e especialmente seguras, isso mostra a criatividade e o conhecimento técnico dos criadores do Prilex com relação aos meios. O bloqueio foi uma saída inusitada, porém eficaz. Isso faz o grupo brasileiro ser o primeiro a conseguir realizar fraudes com essa tecnologia, mesmo que de forma indireta”, afirma Fabio Assolini, chefe da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky na América Latina.

O Prilex está em operação na América Latina desde 2014 e supostamente está por trás de um dos maiores ataques nessa região. Durante o Carnaval do Rio de Janeiro em 2016, o grupo capturou dados de mais de 28 mil cartões de crédito e roubou o dinheiro de mais de mil caixas eletrônicos de um banco. Eles também já atuam mundialmente. Em 2019, foram identificados na Alemanha ao fraudar cartões de débito Mastercard, emitidos pelo banco OLB, sacando mais de € 1,5 milhão de cerca de 2 mil clientes. Até agora, as modificações mais recentes foram detectadas apenas no Brasil, mas poderão ser disseminadas para outros países e regiões.

Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga

Para se proteger do Prilex, a Kaspersky recomenda:

• Use uma solução com várias camadas, que ofereça uma seleção ideal de tecnologias de proteção, para proporcionar o melhor nível de segurança possível para dispositivos com diferentes capacidades e cenários de implementação;
• Implemente o Kaspersky SDK nos módulos dos PDVs para evitar que códigos maliciosos adulterem as transações gerenciadas por eles.
• Proteja sistemas antigos com uma segurança atualizada para que sejam otimizados para executar versões mais antigas do Windows e do pacote Microsoft. Isso garante que sua empresa conte com suporte total para as famílias mais antigas de software para o futuro próximo e abre a possibilidade de se fazer o upgrade quando for necessário.
• Instale uma solução de segurança que proteja os dispositivos de diversos vetores de ataque.
• Para instituições financeiras que costumam ser vítimas desse tipo de fraude, a Kaspersky recomenda o uso do Threat Attribution Engine para ajudar as equipes de resposta a incidentes a encontrar e detectar arquivos do Prilex em ambientes atacados.