Hackers brasileiros do Prilex ressurgem com malware sofisticado visando PDVs

Wendel Siota

Um APT brasileiro conhecido como Prilex ressurgiu, após um hiato operacional de um ano, com um malware avançado e bastante complexo para roubar dinheiro por meio de transações fraudulentas em PDVs.

Segundo os pesquisadores da Kaspersky: “O grupo Prilex demonstrou um alto nível de conhecimento sobre transações com cartões de crédito e débito e como funciona o software usado para processamento de pagamentos. Isso permite que os invasores continuem atualizando suas ferramentas para encontrar uma maneira de contornar as políticas de autorização, permitindo que eles executem seus ataques”.

O grupo de crimes cibernéticos entrou em cena com ataques de malware focados em caixas eletrônicos no Brasil, fornecendo a capacidade de invadir caixas eletrônicos para realizar o  jackpotting – um tipo de ataque que visa dispensar dinheiro de forma ilegítima – e clonar milhares de cartões de crédito para roubar fundos dos clientes do banco alvo.

O modus operandi do Prilex, ao longo dos anos, evoluiu para se aproveitar dos processos relacionados ao software de pontos de venda (PDvs) interceptando e modificando a comunicação com dispositivos eletrônicos, como PIN pads, que são usados ​​para facilitar pagamentos com cartões de débito ou crédito.

Conhecidos por estarem ativos desde 2014, o Prilex também é adepto do EMV Replay Attack, onde o tráfego de uma transação de cartão, com chip legítimo, baseada em EMV, é capturado e retransmitido  para um processador de pagamento, como Mastercard, mas com os campos de transação modificados, para incluir dados de cartões roubados.

Infectar um computador com software de PDV instalado é um ataque altamente direcionado, que se vale de um elemento de engenharia social e permite que o agente da ameaça implante o malware.

“Uma empresa-alvo pode receber uma ligação de um ‘técnico’, que insiste que a empresa precisa atualizar seu software de PDV”, observaram os pesquisadores. “O falso técnico pode visitar o alvo pessoalmente ou solicitar que as vítimas instalem o AnyDesk e forneçam acesso remoto ao ‘técnico’ para instalar o malware.”

As últimas ocorrências identificadas em 2022, no entanto, mostram uma diferença crucial: os Replay Attacks  foram substituídos por uma técnica alternativa para sacar fundos ilicitamente, usando criptogramas gerados pelo cartão da vítima durante o processo de pagamento na loja.

O método, chamado de GHOST Transaction , inclui um componente “ladrão”, que captura todas as comunicações entre o software PDV e o PIN pad, usado para ler o cartão durante a transação, com o objetivo de obter as informações do cartão.

Isso é posteriormente transmitido para um servidor de comando e controle (C2), permitindo que o agente da ameaça faça transações por meio de um dispositivo PDV fraudulento, registrado em nome de uma empresa falsa.

Vale ressaltar que os cartões com chip EMV usam o que é chamado de criptograma, para proteger os dados do titular do cartão toda vez que uma transação é feita. Isso é feito para validar a identidade do cartão e a aprovação do emissor do cartão, reduzindo assim o risco de transações falsificadas.

Enquanto as versões anteriores do Prilex contornavam essas medidas de segurança, monitorando a transação em andamento para obter o criptograma e realizar um ataque de repetição usando a “assinatura” coletada, o ataque GHOST solicita novos criptogramas EMV, que são usados ​​para concluir as transações não autorizadas.

Também integrado ao malware, está um módulo de backdoor projetado para depurar o comportamento do software de PDV e fazer alterações em tempo real. Outros comandos do backdoor o autorizam a encerrar processos, iniciar e parar capturas de tela, baixar arquivos arbitrários do servidor C2 e executar comandos usando CMD.

O Prilex está “lidando diretamente com o protocolo de hardware do PIN pad em vez de usar APIs de alto nível, aplicando patches em tempo real no software, conectando bibliotecas do sistema operacional, mexendo com respostas, comunicações e portas e alternando de um ataque baseado em repetição para gerar criptogramas para suas transações GHOST, mesmo de cartões de crédito protegidos por chips e PINS”, disseram os pesquisadores.

Compartilhe este insight:

Comentários

Participe deixando seu comentário sobre este artigo a seguir:

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments

AUTOR

Wendel Siota
Mais de 25 anos de experiência em cyber security em grandes corporações.

SOLUÇÕES EXIMIACO

Gestão em Segurança da Informação

Ambientes mais seguros para sua empresa crescer com confiança.

Manual do CSO

Como atuar com excelência na gestão de segurança corporativa.
Especialista em segurança da informação

NOVOS HORIZONTES PARA O SEU NEGÓCIO

Nosso time está preparado para superar junto com você grandes desafios tecnológicos.

Entre em contato e vamos juntos utilizar a tecnologia do jeito certo para gerar mais resultados.

Insights EximiaCo

Confira os conteúdos de negócios e tecnologia desenvolvidos pelos nossos consultores:

Segurança da Informação

O que as empresas não podem negligenciar em relação a LGPD

Jurídico e Compliance da Sled – Zero Atrito, uma fintech que oferece soluções financeiras inteligentes para Varejistas e Consumidores.
Segurança da Informação

Ameaças Cibernéticas contra o Mercado Financeiro: 8 pontos de atenção para se proteger

Especialista em Segurança da Informação
Segurança da Informação

O Custo do Erro Humano para a Cibersegurança

Especialista em Segurança da Informação

Acesse nossos canais

Simplificamos, potencializamos e aceleramos resultados usando a tecnologia do jeito certo

EximiaCo 2022 – Todos os direitos reservados

0
Queremos saber a sua opinião, deixe seu comentáriox
()
x

Tenho interesse nessa capacitação

Para solicitar mais informações sobre essa capacitação para a sua empresa, preencha o formulário a seguir:

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

O seu insight foi excluído com sucesso!

O seu insight foi excluído e não está mais disponível.

O seu insight foi salvo com sucesso!

Ele está na fila de espera, aguardando ser revisado para ter sua publicação programada.

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse nessa solução

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse neste serviço

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

× Precisa de ajuda?