[bsa_pro_ad_space id=3 delay=8]

Pagamento por aproximação está na mira de malware avançado

Nova técnica do grupo cibercriminoso brasileiro Prilex é capaz de bloquear transações e roubar dados bancários, forçando o usuário a inserir o cartão em máquina infectada

Compartilhar:

O grupo cibercriminoso brasileiro Prilex desenvolveu três novas versões de um malware capaz de bloquear transações de pagamento por aproximação. O grupo se tornou uma ameaça recente ao evoluir um malware centrado em ATM para um modular único de PoS.

 

Segundo a Kaspersky, que descobriu o caso durante uma recente Resposta a Incidentes para um cliente atingido pelo Prilex, trata-se de uma ameaça altamente avançada de Point of Sale, dotada de um esquema criptográfico único. O malware faz patches em tempo real no software alvo, forçando downgrades de protocolo, manipulando criptografias, fazendo transações GHOST e realizando fraudes com cartões de crédito, até mesmo em cartões protegidos com a chamada tecnologia CHIP e PIN não pirateável.

 

“Para instalar seus vírus, criminosos do Prilex entram em contato com o estabelecimento comercial e se apresentam como funcionários das empresas de maquininhas ou das bandeiras do cartão. Dizem que precisam fazer manutenção nos equipamentos e instruem a vítima a acessar um site para instalar uma ferramenta que, na verdade, dá acesso remoto ao computador”, explicou Fábio Assolini, Chefe de Equipe de Análise para América Latina na Kaspersky, em entrevista para a Security Report.

 

Foram observadas três novas versões do Prilex e assim, foi possível obter a mais recente (06.03.8080). As outras duas são 06.03.8070 e 06.03.8072.

 

A versão obtida foi descoberta ainda em novembro de 2022 e acreditava-se ter origem numa base de código diferente das outras que foram encontradas no início desse ano. O Prilex aplica agora um arquivo baseado em regras específicas indicando se deve ou não capturar informações de cartões de crédito, além de uma opção para bloquear pagamentos baseados em NFC.

 

Isto deve-se ao fato de as transações nesse formato gerarem frequentemente um único ID ou número de cartão válido apenas para um pagamento. Se o Prilex detectar um pagamento baseado em NFC e o bloquear, o PIN pad mostrará a mensagem “ERRO APROXIMACAO. INSIRA O CARTAO”.

 

O objetivo é forçar a vítima a utilizar o seu cartão físico, inserindo-o no leitor de PIN pad para que o malware seja capaz de capturar os dados provenientes da transferência. Para isso, os cibercriminosos utilizam técnicas como a manipulação de criptografia e a realização de um ataque GHOST.

 

Outra nova característica acrescentada nessas últimas amostras do Prilex é a possibilidade de filtrar cartões de crédito de acordo com o nível de conta e criar regras diferentes para cada um. Por exemplo, estas regras podem bloquear NFC e capturar dados apenas se o cartão for Black, Infinite, Corporate ou outro nível com um limite de transação elevado, o que é muito mais atrativo para os cibercriminosos.

 

“O principal ao consumidor é ficar atento na hora da compra: deu erro ao aproximar o cartão da maquininha? Confira a mensagem que ela apresenta. Caso ela peça, no monitor, para inserir o cartão (o que não é uma mensagem comum, pois ela só indicaria que houve o erro), desconfie e tente fazer a compra por aproximação novamente. Também é muito importante sempre ficar atento ao extrato do banco utilizado, para conferir se não está acontecendo nenhuma compra fora do normal”, orientou Assolini.

 

 

Conteúdos Relacionados

Security Report | Destaques

ALLOS eleva maturidade em Segurança Cibernética com jornada tecnológica

Em parceria com a NetSecurity, a administradora de shoppings conseguiu integrar e automatizar processos, proporcionando uma resposta eficaz a incidentes...
Security Report | Destaques

Eneva aposta em assessment para construir uma infraestrutura de segurança resiliente

Em parceria com a Cisco, a empresa decidiu priorizar uma abordagem personalizada para construir uma infraestrutura sólida e robusta. Case...
Security Report | Destaques

Prêmio Security Leaders: inscrições abertas

O Prêmio mais cobiçado do mercado de Segurança da Informação e Cibernética está no ar. Líderes, Heads e CISOs podem...
Security Report | Destaques

O Burnout Silencioso dos CISOs

Cada vez mais pesquisas de instituições relevantes apontam um processo acentuado de exaustão por parte dos Líderes de Segurança em...