Durante a 10º Cúpula de Analistas de Segurança, os pesquisadores da Kaspersky Lab relataram que a primeira aparição relevante do grupo Prilex estava relacionada a um ataque em caixas eletrônicos direcionado aos bancos, principalmente no território brasileiro. Naquela época, os criminosos usavam um dispositivo blackbox configurado com um modem USB 4G para controlar remotamente a máquina. Ao abrir um backdoor para o atacante, eles tiveram a possibilidade de sequestrar a conexão sem fio da instituição e controlar outros caixas eletrônicos à vontade.
Com o passar do tempo, o grupo que está por trás do malware Prilex migrou seus esforços para sistemas de pontos de venda desenvolvidos por fornecedores brasileiros usando cartões de crédito roubados que permitiam a criação de um novo totalmente funcional, habilitado inclusive para transações protegidas pelas funcionalidades de chip e senha. Isso permite que o criminoso realize as transações fraudulentas em qualquer loja, online ou offline.
Como funciona o ataque?
Para se ter uma ideia, existem três componentes que fazem parte do Prilex: um malware que modifica o sistema de ponto de venda e intercepta a informação dos cartões de crédito; um servidor usado para gerenciar informações obtidas ilegalmente; e, um aplicativo de usuário que o “cliente” do malware utiliza para ver, clonar ou guardar estatísticas relacionadas aos cartões.
O malware foi desenvolvido com o objetivo de ler certas informações dos cartões de crédito e débito processados pelo ponto de venda, para depois usar essas informações e gerar novos cartões que serão utilizados em transações fraudulentas. A novidade deste malware está em seu modelo de negócios, onde todas as necessidades dos usuários são levadas em consideração, oferecendo uma interface simples e amigável para a operação criminal. Além disso, o Prilex permite a geração de cartões com chip e PIN, que são úteis em qualquer tipo de operação de compra de bens e serviços em diferentes lojas.
A evolução do seu código, embora não tecnicamente notável, foi aparentemente suficiente para manter um fluxo de renda constante, permitindo melhorar lentamente seu modelo de negócios. A análise de “Daphne”, um módulo para fazer uso da informação financeira adquirida ilegalmente e seu esquema de afiliados, sugere que este é um grupo “orientado para o cliente”, com muitos níveis em sua cadeia de desenvolvimento; semelhante ao que foi visto, por exemplo, no popular malware para caixas eletrônicos Ploutus e outras ameaças financeiras regionais.
O cartão de crédito clonado funciona em qualquer sistema de ponto de venda no Brasil devido a uma implementação incorreta do padrão EMV (especificação criada pela Europay, MasterCard e Visa, para pagamentos eletrônicos seguros de débito e crédito), onde nem todos os dados são verificados durante o processo de aprovação. Embora esses ataques tenham acontecido no passado, é a primeira vez que um conjunto tão completo de utilitários é encontrado nesse âmbito, ainda mais visando apenas comerciantes brasileiros – até o momento. Todo o processo que envolve desde o roubo da informação até a criação do cartão falso é cuidado pelo Prilex, de forma fácil e direta.
Atualmente, a evidência da investigação indicou que o malware está sendo distribuído por meio de um e-mail convencional, que convence as vítimas a baixar uma atualização de um servidor remoto – na qual é controlada por criminosos. As vítimas tendem a ser lojas tradicionais, como postos de gasolina, supermercados e mercados típicos de varejo; e, todos eles, localizados em diferentes estados do Brasil.
Fraude em números:
O mercado ilegal relacionado ao tráfego de informações do usuário amadureceu tanto que é muito difícil diferenciá-lo de uma economia legítima. De todos os titulares de cartões – débito, crédito e pré-pago – 30% sofreram fraude nos últimos cinco anos, o que representa uma parte significativa.
Em 2016, o México obteve o título de ‘campeão’ em fraude em cartões de crédito, com 56% dos residentes relatando ter sofrido dessa fraude nos últimos 5 anos. O Brasil ocupa o segundo lugar (49%), e em terceiro lugar, os EUA (47%). Aproximadamente 65% do tempo, a fraude do cartão de crédito resulta em uma perda financeira direta ou indireta para a vítima. Essas perdas individuais variam amplamente ao redor do mundo, mas em 2014, a perda mediana (combinada direta e indireta) relatada por incidência de fraude foi de US$ 300; agora, a perda média relatada é de US$ 1.343.
Em relação às fraudes de cartões de débito, o ranking mudou apenas um pouco: o México teve a maior taxa de fraude com 34%, seguida pelo Brasil (25%), Índia (23%) e França (22%), de acordo com o 2016 Global Consumer Card Fraud: Where Card Fraud Is, ACI Universal Payments.
“Felizmente, bancos e operadores no Brasil estão investindo mais em tecnologias para melhorar seus sistemas e evitar fraudes, permitindo identificar essas técnicas e negar transações suspeitas. No entanto, alguns países da América Latina não evoluíram rapidamente e nem o suficiente em termos de tecnologias para proteger as transações com cartões de crédito e débito, deixando, inclusive, muitos pontos de venda operando com medidas de segurança obsoletas, diz Santiago Pontiroli, analista de segurança da Kaspersky Lab.
Você também deve ler!
Hardware.com.br entrevista: Fabio Assolini, analista sênior de malware da Kaspersky Lab
Kaspersky: 29% dos usuários brasileiros foram afetados por phishing em 2017
Siga o Hardware.com.br no Instagram
Veja também
Sobre o Autor
Deixe seu comentário