:::: MENU ::::
  • Suitable for all screen sizes

  • Easy to Customize

  • Customizable fonts.

Após um ano desaparecido, o grupo brasileiro especializado em fraudes com cartões com chip Prilex ressurgiu com um novo esquema malicioso: fraudes fantasmas.

A análise dos nossos especialistas destaca o conhecimento avançado dos criminosos sobre os sistemas de pagamentos e sua atuação meticulosa, que inclui uma escolha seletiva das vítimas e mecanismos para manter o golpe invisível por muito tempo.

Como funciona o Prilex?

O sistema financeiro brasileiro é um dos mais modernos do mundo e também é um dos que mais investe em cibersegurança (um valor estimado em R$ 2.5 bilhões).

Apesar dos esforços contra ameaças, o grupo brasileiro que criou o Prilex tem conseguido roubar os dados de cartões de crédito e débito de muitas formas: alterando o software de TEF (EFT – Electronic Funds Transfer), além de manipular as portas de comunicação (serial ou USB) entre as máquinas e o sistema.

Para conseguir infectar as vítimas, o golpe usa táticas de engenharia social (lábia) para convencer os estabelecimentos comerciais a efetuar uma atualização de sistemas.

“O Prilex é um golpe altamente direcionado. O grupo ronda o estabelecimento para avaliar sua movimentação, caso o alvo seja interessante, eles farão contato telefônico ou enviarão até um falso técnico para “atualizar” o sistema. O objetivo final é instalar um programa legítimo para permitir o acesso remoto do grupo e a instalação remota do Prilex” explica Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky na América Latina.

A evolução do golpe

Nossos especialistas mostraram que o novo malware mudou sua abordagem. Em 2018, ele explorava implementações incompletas do EMV (um padrão criado pela Europay, MasterCard e Visa para pagamentos eletrônicos seguros de débito e crédito) para roubar e clonar cartões para criar transações fraudulentas em nome das vítimas. Já a versão de 2022, além de explorar as portas de comunicação, realiza apenas uma transação fantasma.

O esquema funciona assim: uma vez que o sistema de pagamento TEF está infectado, o Prilex alterará a rotina das máquinas que se conectarem no terminal infectado. Dessa forma, quando um cliente está pagando seu consumo no estabelecimento com o cartão, a primeira inserção de senha é controlada pelo malware com o objetivo de roubar a chave de autenticação (chamada de criptograma) que é gerada sempre na primeira transação do cliente. Após o roubo, o Prilex simulará um erro na transação para poder solicitar a inserção da senha novamente para concluir “normalmente” o pagamento. Nem o consumidor nem o estabelecimento percebem que a fraude foi realizada.

Esquema do Prilex: da infecção ao roubo

Esquema do Prilex: da infecção ao roubo

É curioso que todos esses processos são comandados por apenas um dos três módulos do Prilex, o stealer. Ele ainda é responsável por realizar uma análise complementar do sistema de pagamentos para confirmar que o estabelecimento tem uma movimentação mínima de transações com cartão. “Caso o malware perceba que no estabelecimento há poucas transações, o golpe é cancelado e o grupo buscará uma nova vítima. Isso mostra o grau de profissionalismo da gangue”, explica Assolini.

Caso o esquema avance, o segundo módulo do Prilex, o backdoor, fará uma segunda análise do equipamento para encontrar o melhor esconderijo para o malware. Assolini revela que a equipe que realizou a análise se surpreendeu com o grau de sofisticação do ataque, pois esse módulo tem a capacidade de ajustar a maneira que a infecção ocorre, visando garantir que o malware não seja identificado pelo antivírus e possa realizar o roubo por muito tempo. Já o último módulo, uploader, é o responsável por enviar as informações financeiras roubadas para os criminosos. Com elas, são realizadas as transações fantasmas que usam o mesmo criptograma e o mesmo valor, porém elas são feitas em uma máquina registrada no nome dos criminosos.

Golpe à venda

Não satisfeitos em efetuar o golpe diretamente, os criminosos “escalaram” a sua atuação. A análise dos nossos especialistas revelou que o Prilex também está atuando no modelo de Malware como serviço (MaaS), no qual os criadores vendem o Prilex para grupos que irão operacionalizar os ataques. Em 2019, identificou-se ofertas no valor de US$ 3.500,00 e, mais recentemente, foi encontrado uma suposta oferta de US$ 13.000,00 – que ainda está sob apuração. “Se este novo valor se confirmar, temos um indicação forte do quão lucrativo essa nova abordagem é para os criminosos”, comenta o diretor da Kaspersky.

Os detalhes técnicos e índices de comprometimentos da ameaça estão disponíveis para todas as instituições que tenham acesso ao Portal de Threat Intelligence da Kaspersky.

 



from Notícias – Blog oficial da Kaspersky https://ift.tt/lsYWg36

0 comentários:

Postar um comentário

A call-to-action text Contact us