Prilex: malware brasileiro de caixa eletrônico se reinventa e mira cartões de crédito protegidos por senha e chip na América Latina

Não é uma novidade que os cibercriminosos se reinventam para alcançar um maior número de vítimas após um ataque. Desde o início, a América Latina tem sido um terreno fértil para fraudes relacionadas a cartões de crédito e débito, com grupos criminosos evoluindo em suas técnicas de ataque para se concentrar nos sistemas de pontos de venda e nas numerosas transações que são realizadas todos os dias.

Durante a 10º Cúpula de Analistas de Segurança, os pesquisadores da Kaspersky Lab relataram que a primeira aparição relevante do grupo Prilex estava relacionada a um ataque em caixas eletrônicos direcionado aos bancos, principalmente no território brasileiro. Naquela época, os criminosos usavam um dispositivo blackbox configurado com um modem USB 4G para controlar remotamente a máquina. Ao abrir um backdoor para o atacante, eles tiveram a possibilidade de sequestrar a conexão sem fio da instituição e controlar outros caixas eletrônicos à vontade.

Com o passar do tempo, o grupo que está por trás do malware Prilex migrou seus esforços para sistemas de pontos de venda desenvolvidos por fornecedores brasileiros usando cartões de crédito roubados que permitiam a criação de um novo totalmente funcional, habilitado inclusive para transações protegidas pelas funcionalidades de chip e senha.  Isso permite que o criminoso realize as transações fraudulentas em qualquer loja, online ou offline.

“Estamos lidando com um novo tipo de malware que oferece suporte para os criminosos em suas operações, tudo com uma interface gráfica de usuário e modelos bem elaborados para criar diferentes estruturas de cartões de crédito. Apesar da clonagem de cartões protegidos por PIN já terem sido discutidas no passado, cremos que a ameaça do Prilex e seu modelo de negócios são importantes para serem compartilhados com a comunidade; já que esses ataques estão se tornando cada vez mais fáceis de realizar e a implementação do padrão EMV não conseguiu acompanhar os criminosos.”,diz Thiago Marques, analista de segurança da Kaspersly Lab. 

O cartão de crédito clonado funciona em qualquer sistema de ponto de venda no Brasil devido a uma implementação incorreta do padrão EMV (especificação criada pela Europay, MasterCard e Visa, para pagamentos eletrônicos seguros de débito e crédito), onde nem todos os dados são verificados durante o processo de aprovação. Embora esses ataques tenham acontecido no passado, é a primeira vez que um conjunto tão completo de utilitários é encontrado nesse âmbito, ainda mais visando apenas comerciantes brasileiros – até o momento. Todo o processo que envolve desde o roubo da informação até a criação do cartão falso é cuidado pelo Prilex, de forma fácil e direta.

Atualmente, a evidência da investigação indicou que o malware está sendo distribuído por meio de um e-mail convencional, que convence as vítimas a baixar uma atualização de um servidor remoto – na qual é controlada por criminosos. As vítimas tendem a ser lojas tradicionais, como postos de gasolina, supermercados e mercados típicos de varejo; e, todos eles, localizados em diferentes estados do Brasil.

Santiago Pontiroli, analista de segurança da Kaspersky Lab, acredita que “é interessante ver como a responsabilidade de um incidente de fraude foi transferida entre as diferentes partes responsáveis ao longo dos anos, do cliente para os comerciantes e depois para o banco. Na realidade, o cliente é sempre o elo mais fraco e fica com a pior parte da história”.

Como funciona o ataque

Para se ter uma ideia, existem três componentes que fazem parte do Prilex: um malware que modifica o sistema de ponto de venda e intercepta a informação dos cartões de crédito; um servidor usado para gerenciar informações obtidas ilegalmente; e, um aplicativo de usuário que o “cliente” do malware utiliza para ver, clonar ou guardar estatísticas relacionadas aos cartões.

O malware foi desenvolvido com o objetivo de ler certas informações dos cartões de crédito e débito processados pelo ponto de venda, para depois usar essas informações e gerar novos cartões que serão utilizados em transações fraudulentas. A novidade deste malware está em seu modelo de negócios, onde todas as necessidades dos usuários são levadas em consideração, oferecendo uma interface simples e amigável para a operação criminal. Além disso, o Prilex permite a geração de cartões com chip e PIN, que são úteis em qualquer tipo de operação de compra de bens e serviços em diferentes lojas.

A evolução do seu código, embora não tecnicamente notável, foi aparentemente suficiente para manter um fluxo de renda constante, permitindo melhorar lentamente seu modelo de negócios. A análise de "Daphne", um módulo para fazer uso da informação financeira adquirida ilegalmente e seu esquema de afiliados, sugere que este é um grupo "orientado para o cliente", com muitos níveis em sua cadeia de desenvolvimento; semelhante ao que foi visto, por exemplo, no popular malware para caixas eletrônicos Ploutus e outras ameaças financeiras regionais.

A equipe por trás do desenvolvimento de Prilex mostra traços de atividade desde, pelo menos, o ano de 2014. Um grupo que se mostrou altamente versátil e com o objetivo principal de atacar usuários e instituições brasileiras. Além disso, a preferência pelo setor financeiro ou minorista reforça a crença de que a motivação principal por trás de suas campanhas tem um propósito monetário.

“Esta modularização, tanto no seu código fonte quanto no modelo de negócios, torna o  Prilex como uma séria ameaça para o setor financeiro, atualmente confinado ao território do Brasil com a incerteza de quanto tempo demorará antes de expandir suas operações para outras regiões.”, enfatiza Marques.

Fraude em números

Neste momento, é possível supor que quase todas as credenciais de usuários e/ou informações do cartão foram comprometidas em algum momento. O mercado ilegal relacionado ao tráfego de informações do usuário amadureceu tanto que é muito difícil diferenciá-lo de uma economia legítima. De todos os titulares de cartões – débito, crédito e pré-pago – 30% sofreram fraude nos últimos cinco anos, o que representa uma parte significativa.

Em 2016, o México obteve o título de ‘campeão’ em fraude em cartões de crédito, com 56% dos residentes relatando ter sofrido dessa fraude nos últimos 5 anos. O Brasil ocupa o segundo lugar (49%), e em terceiro lugar, os EUA (47%). Aproximadamente 65% do tempo, a fraude do cartão de crédito resulta em uma perda financeira direta ou indireta para a vítima. Essas perdas individuais variam amplamente ao redor do mundo, mas em 2014, a perda mediana (combinada direta e indireta) relatada por incidência de fraude foi de US$ 300; agora, a perda média relatada é de US$ 1.343.

Em relação às fraudes de cartões de débito, o ranking mudou apenas um pouco: o México teve a maior taxa de fraude com 34%, seguida pelo Brasil (25%), Índia (23%) e França (22%), de acordo com o 2016 Global Consumer Card Fraud: Where Card Fraud Is, ACI Universal Payments.

“Felizmente, bancos e operadores no Brasil estão investindo mais em tecnologias para melhorar seus sistemas e evitar fraudes, permitindo identificar essas técnicas e negar transações suspeitas. No entanto, alguns países da América Latina não evoluíram rapidamente e nem o suficiente em termos de tecnologias para proteger as transações com cartões de crédito e débito, deixando, inclusive, muitos pontos de venda operando com medidas de segurança obsoletas”,conclui Pontiroli.