O grupo cibercriminoso brasileiro Prilex desenvolveu três novas versões de um malware capaz de bloquear transações de pagamento por aproximação. O grupo se tornou uma ameaça recente ao evoluir um malware centrado em ATM para um modular único de PoS.

Segundo a Kaspersky, que descobriu o caso durante uma recente Resposta a Incidentes para um cliente atingido pelo Prilex, trata-se de uma ameaça altamente avançada de Point of Sale, dotada de um esquema criptográfico único. O malware faz patches em tempo real no software alvo, forçando downgrades de protocolo, manipulando criptografias, fazendo transações GHOST e realizando fraudes com cartões de crédito, até mesmo em cartões protegidos com a chamada tecnologia CHIP e PIN não pirateável.

“Para instalar seus vírus, criminosos do Prilex entram em contato com o estabelecimento comercial e se apresentam como funcionários das empresas de maquininhas ou das bandeiras do cartão. Dizem que precisam fazer manutenção nos equipamentos e instruem a vítima a acessar um site para instalar uma ferramenta que, na verdade, dá acesso remoto ao computador”, explicou Fábio Assolini, Chefe de Equipe de Análise para América Latina na Kaspersky, em entrevista para a Security Report.

Foram observadas três novas versões do Prilex e assim, foi possível obter a mais recente (06.03.8080). As outras duas são 06.03.8070 e 06.03.8072.

A versão obtida foi descoberta ainda em novembro de 2022 e acreditava-se ter origem numa base de código diferente das outras que foram encontradas no início desse ano. O Prilex aplica agora um arquivo baseado em regras específicas indicando se deve ou não capturar informações de cartões de crédito, além de uma opção para bloquear pagamentos baseados em NFC.

Isto deve-se ao fato de as transações nesse formato gerarem frequentemente um único ID ou número de cartão válido apenas para um pagamento. Se o Prilex detectar um pagamento baseado em NFC e o bloquear, o PIN pad mostrará a mensagem “ERRO APROXIMACAO. INSIRA O CARTAO”.

O objetivo é forçar a vítima a utilizar o seu cartão físico, inserindo-o no leitor de PIN pad para que o malware seja capaz de capturar os dados provenientes da transferência. Para isso, os cibercriminosos utilizam técnicas como a manipulação de criptografia e a realização de um ataque GHOST.

Outra nova característica acrescentada nessas últimas amostras do Prilex é a possibilidade de filtrar cartões de crédito de acordo com o nível de conta e criar regras diferentes para cada um. Por exemplo, estas regras podem bloquear NFC e capturar dados apenas se o cartão for Black, Infinite, Corporate ou outro nível com um limite de transação elevado, o que é muito mais atrativo para os cibercriminosos.

“O principal ao consumidor é ficar atento na hora da compra: deu erro ao aproximar o cartão da maquininha? Confira a mensagem que ela apresenta. Caso ela peça, no monitor, para inserir o cartão (o que não é uma mensagem comum, pois ela só indicaria que houve o erro), desconfie e tente fazer a compra por aproximação novamente. Também é muito importante sempre ficar atento ao extrato do banco utilizado, para conferir se não está acontecendo nenhuma compra fora do normal”, orientou Assolini.