O Prilex é uma ameaça bem conhecida e perigosa, visando o núcleo da indústria de pagamentos – ATMs (Automated Teller Machines) e terminais de ponto de venda (PoS). Activa desde 2014, a Prilex estaria alegadamente por detrás de um dos maiores ataques a caixas multibanco no Brasil. Durante o Carnaval em 2016, a ameaça clonou mais de 28.000 cartões de crédito e drenou mais de 1.000 caixas multibanco num dos bancos brasileiros. Os autores roubaram todos os fundos presentes nas máquinas, e os danos após este incidente foram estimados em milhões de dólares.
Em 2016, o grupo concentrou todos os seus ataques apenas nos sistemas de PoS. Desde então, os cibercriminosos melhoraram consideravelmente o seu malware, tornando-o uma ameaça complexa que evolui rapidamente, tendo um grande impacto na cadeia de pagamento. Agora o Prilex, operador da ameaça, conduz os chamados ataques “GHOST” – transações fraudulentas utilizando criptogramas – anteriormente gerados pelo cartão da vítima durante o processo de pagamento da loja.
As infeções iniciais das máquinas são geralmente transmitidas através da engenharia social. Após escolherem um alvo, os cibercriminosos telefonam ao proprietário da empresa ou aos seus empregados e dizem que o seu software de PoS precisa de ser atualizado por um técnico. Mais tarde, o técnico falso vem pessoalmente à empresa alvo e infecta as máquinas com software malicioso. Noutro cenário, os infratores pedem ao alvo para instalar o AnyDesk e dar acesso ao técnico falso, a fim de instalar o malware remotamente.
Antes de atacar as vítimas, os cibercriminosos realizam um rastreio inicial da máquina, a fim de verificar o número de transacções que já ocorreram e se vale a pena atacar este alvo. Se assim for, o malware irá então capturar qualquer transacção em curso e modificar o seu conteúdo de modo a poder capturar as informações do cartão. Todos os detalhes do cartão capturado são então guardados num ficheiro encriptado, que será posteriormente enviado para o servidor dos atacantes, permitindo-lhes fazer transacções através de um dispositivo de PoS registado de forma fraudulenta em nome de uma empresa falsa.
Dados de cartões de crédito capturados que serão posteriormente enviados para o servidor do operador
Assim, tendo atacado um sistema PoS, os atacantes obtêm dados de dezenas e até centenas de cartões diariamente. É especialmente perigoso se as máquinas infectadas estiverem localizadas em centros comerciais populares em cidades densamente povoadas, onde o fluxo diário de clientes pode chegar a milhares de pessoas.
O esquema da cadeia de infecção do Prilex
Na recente investigação, peritos da Kaspersky descobriram também que o grupo Prilex está a controlar o ciclo de vida de desenvolvimento do seu malware utilizando Subversion, utilizado por equipas de desenvolvimento profissional. Além disso, um suposto website oficial do Prilex está a vender os kits do seu malware a outros cibercriminosos como Malware-as-a-Service. O Prilex vendeu anteriormente várias versões do malware na Darknet, por exemplo, em 2019 um banco alemão perdeu mais de 1,5 milhões de euros num ataque semelhante do malware do Prilex. Agora, com o aparecimento da sua operação MasS, as versões altamente sofisticadas e perigosas do malware do PoS malware poderiam propagar-se a muitos países, e o risco de perder milhões de dólares aumentaria para as empresas em todo o mundo.
Os investigadores da Kaspersky também descobriram websites e chats no Telegram onde os cibercriminosos vendiam o malware Prilex. Fazendo-se passar pelo próprio grupo Prilex, apresentam as últimas versões do malware PoS, custando de $3.500 a $13.000. Os peritos da Kaspersky não estão confiantes na verdadeira propriedade destes websites, pois podem ser cópias, tentando imitar o grupo e roubar dinheiro usando a sua fama recente.
“Nos filmes assistimos frequentemente a como ladrões invadem um banco com uma arma na mão, esvaziam a caixa e fogem da cena, levando consigo um enorme saco de dinheiro. No mundo real, porém, os assaltos a bancos acontecem de forma bastante diferente. Atualmente, os verdadeiros criminosos são muito furtivos: normalmente atacam remotamente usando malware sem qualquer contacto físico com o banco. Isto torna-os muito mais difíceis de detectar, e até que o ATM e os PoS estejam suficientemente protegidos e actualizados, o número de ameaças e incidentes só irá aumentar“, comenta Fabio Assolini, head of the Latin American Global Research and Analysis Team (GReAT) at Kaspersky.
A família Prilex é detectada em todos os produtos da Kaspersky como HEUR:Trojan.Win32.Prilex e HEUR:Trojan.Win64.Prilex
Leia mais sobre o Prilex no relatório completo na Securelist.
Para se proteger do Prilex, a Kaspersky recomenda:
- Utilize uma solução multicamadas, oferecendo uma selecção adequada de camadas de protecção para proporcionar o melhor nível de segurança possível para dispositivos com diferentes capacidades e com diferentes cenários de implementação
- Implementar técnicas de auto-protecção nos módulos de PoS, tais como a protecção disponível no nosso Kaspersky SDK, com o objectivo de impedir que o código malicioso adultere as transacções geridas por esses módulos
- Proteger sistemas mais antigos com protecções actuais. As soluções devem ser optimizadas para funcionar com plena funcionalidade nas versões mais antigas do Windows, bem como nas famílias mais recentes do Windows. Isto assegura ao negócio que será fornecido com total apoio às famílias mais antigas num futuro previsível, e dá-lhe uma oportunidade de actualização sempre que for necessário.
- Instalar uma solução de segurança que proteja os dispositivos de diferentes vectores de ataque, tais como o Kaspersky Embedded Systems Security. Se o dispositivo tiver especificações de sistema extremamente baixas, a solução da Kaspersky ainda o protegerá num cenário de Negação por Defeito.
Para instituições financeiras vítimas deste tipo de fraude, Kaspersky recomenda o Threat Attribution Engine para ajudar as equipas de IR a encontrar e detectar ficheiros Prilex nos ambientes atacados.
Outros artigos interessantes: