Prilex é um agente de ameaças brasileiro que evoluiu de ATM para POS

Prilex é um agente de ameaças brasileiro que evoluiu de ATM para POS. O malware evolui do foco em ATM para malware modular de ponto de venda (POS). O grupo estava por trás de um dos maiores ataques a caixas eletrônicos do país, infectando e acumulando mais de 1.000 máquinas, além de clonar mais de 28.000 cartões de crédito usados ​​nesses caixas antes dos assaltos. Mas a ganância dos criminosos não tinha limites: eles queriam mais e assim conseguiram.

Ativo desde 2014, em 2016, o grupo decidiu abandonar o malware ATM e concentrar todos os seus ataques em sistemas PoS, visando o núcleo da indústria de pagamentos. São criminosos com amplo conhecimento do mercado de pagamentos, software e protocolos de EFT. Eles rapidamente adotaram o modelo de malware como serviço e expandiram seu alcance no exterior, criando um conjunto de ferramentas que incluía backdoors, uploaders e ladrões de forma modular. Desde então, acompanhamos cada movimento do agente da ameaça, testemunhando os danos e as grandes perdas financeiras que trouxeram ao setor de pagamentos.

O malware Prilex PoS evoluiu de um simples raspador de memória para um malware muito avançado e complexo, lidando diretamente com o protocolo de hardware PIN pad em vez de usar APIs de nível superior, fazendo patches em tempo real no software de destino, conectando bibliotecas do sistema operacional, mexendo com respostas, comunicações e portas, e alternando de um ataque baseado em repetição para gerar criptogramas para suas transações GHOST, mesmo de cartões de crédito protegidos com tecnologia CHIP e PIN.

Tudo começou com caixas eletrônicos durante uma festa de carnaval

Durante o carnaval de 2016, um banco brasileiro percebeu que seus caixas eletrônicos haviam sido hackeados, com todo o dinheiro contido nessas máquinas roubado. De acordo com relatos de órgãos policiais, os criminosos por trás do ataque conseguiram infectar mais de 1.000 máquinas pertencentes a um banco no mesmo incidente, o que lhes permitiu clonar 28.000 cartões de crédito únicos em todo o Brasil.

Os invasores não tiveram acesso físico às máquinas, mas conseguiram acessar a rede do banco usando um dispositivo DIY contendo um roteador 4G e um Raspberry PI. Ao abrir um backdoor, eles conseguiram seqüestrar a conexão sem fio da instituição e atacar os caixas eletrônicos à vontade. Após obter o acesso inicial à rede, o invasor executaria um processo de reconhecimento de rede para encontrar o endereço IP de cada um dos caixas eletrônicos. Com essas informações em mãos, os invasores iniciariam uma fase de movimento lateral, usando credenciais padrão do Windows e, em seguida, instalando malware personalizado nos sistemas desejados. O backdoor permitiria que o invasor esvaziasse o soquete do caixa eletrônico iniciando a interface do malware e digitando um código fornecido pelo mentor, sendo o código específico para cada caixa eletrônico invadido.

Caixa eletrônico infectado com Prilex pronto para dispensar dinheiro

Caixa eletrônico infectado com Prilex pronto para dispensar dinheiro

O malware utilizado no ataque chamava-se Prilex e foi desenvolvido desde a raiz com recurso a informações privilegiadas e conhecimentos avançados da rede ATM. Para controlar os caixas eletrônicos, a Prilex fez patch em software legítimo para fins de jackpot. Além de sua capacidade de realizar um jackpot, o malware também foi capaz de capturar informações de tarjas magnéticas em cartões de crédito e débito inseridos nos caixas eletrônicos infectados. Depois, essas informações valiosas podem ser usadas para clonar cartões e roubar mais fundos dos clientes do banco.

Evoluindo para malware PoS

O Prilex evoluiu de malware focado em caixas eletrônicos para malware modular de ponto de venda direcionado a sistemas de pagamento desenvolvidos por fornecedores brasileiros, o chamado software EFT/TEF . Como observado em 2018, há muitas semelhanças entre suas versões ATM e PoS. Seu primeiro malware PoS foi descoberto em outubro de 2016. As duas primeiras amostras tinham 2010/2011 como data de compilação, conforme mostrado no gráfico abaixo. No entanto, acredita-se que datas de compilação inválidas foram definidas devido a configurações incorretas de data e hora do sistema. Em versões posteriores, os timestamps correspondiam aos tempos em que as amostras foram descobertas. Também nota-se que na ramificação de 2022 que os desenvolvedores começaram a usar o Subversion como sistema de controle de versão.

Versões do malware Prilex PoS: 3 novas versões em 2022

Como vemos no gráfico, o Prilex era altamente ativo em 2020, mas desapareceu repentinamente em 2021, ressurgindo em 2022 com o lançamento de três novas variantes.

A versão PoS do Prilex é codificada em Visual Basic, mas o módulo ladrão, descrito no artigo da Securelist, está em p-code . Em poucas palavras, esta é uma etapa intermediária entre instruções de alto nível em um programa Visual Basic e o código nativo de baixo nível executado por uma CPU. Visual Basic converte instruções de p-code em código nativo em tempo de execução.

Prilex não é o único tipo de malware PoS originado no Brasil. É possível observar um elo fraco com o antigo Trojan-Spy.Win32.SPSniffer , que o Securelist descreveu em 2010, pois ambas as famílias são capazes de interceptar sinais de PIN pads , mas usam abordagens diferentes para isso.

Os PIN pads são equipados com recursos de hardware e segurança para garantir que as chaves de segurança sejam apagadas se alguém tentar adulterar o dispositivo. Na verdade, o PIN é criptografado no dispositivo na entrada usando uma variedade de esquemas de criptografia e chaves simétricas. Na maioria das vezes, este é um codificador DES triplo, dificultando a quebra do PIN.

Porém, há um problema: esses dispositivos estão sempre conectados a um computador por meio de uma porta USB ou serial, que se comunica com o software EFT. Dispositivos PIN pad mais antigos e desatualizados usam esquemas de criptografia obsoletos e fracos, tornando mais fácil para malware instalar um sniffer de porta USB ou serial para capturar e descriptografar o tráfego entre o PIN pad e o sistema infectado. É assim que o SPSniffer obtém os dados do cartão de crédito. Às vezes, o tráfego nem é criptografado.

SPSniffer: sniffer de porta serial que permite a captura de tráfego não criptografado

SPSniffer: sniffer de porta serial que permite a captura de tráfego não criptografado

A principal abordagem usada pelo Prilex para capturar dados de cartão de crédito é usar um patch nas bibliotecas do sistema PoS, permitindo que o malware colete dados transmitidos pelo software. O malware procurará a localização de um determinado conjunto de executáveis ​​e bibliotecas para aplicar o patch, substituindo assim o código original. Com o patch em vigor, o malware coleta os dados do TRACK2, como o número da conta e a data de validade, além de outras informações do titular do cartão necessárias para realizar transações fraudulentas.

Mexendo com o padrão EMV

O Brasil começou a migrar para o EMV em 1999 e hoje quase todos os cartões emitidos no país são habilitados para chip. Um pequeno aplicativo baseado em Java vive dentro do chip e pode ser facilmente manipulado para criar um cartão de “bilhete dourado” que será válido na maioria – se não em todos – sistemas de ponto de venda. Esse conhecimento permitiu que os criminosos atualizassem seu conjunto de ferramentas, permitindo que eles criassem seus próprios cartões com essa nova tecnologia e os mantendo “no negócio”.

As versões iniciais do Prilex eram capazes de realizar o “ataque de repetição”, onde, ao invés de quebrar o protocolo EMV, eles tiravam vantagem de implementações ruins. Como os operadores de pagamento não realizam algumas das validações exigidas pelo padrão EMV, os criminosos podem explorar essa vulnerabilidade dentro do processo em seu benefício.

Nesse tipo de ataque, os fraudadores enviam transações regulares de tarja magnética pela rede de cartões como compras EMV, pois estão no controle de um terminal de pagamento e têm a capacidade de manipular campos de dados para transações feitas por esse terminal. Mais tarde, eles passaram a capturar tráfego de transações reais de cartão com chip baseadas em EMV. Os ladrões podem inserir dados de cartões roubados no fluxo de transações, enquanto modificam a conta bancária do comerciante e do adquirente em tempo real.

Os cibercriminosos brasileiros lançaram com sucesso ataques de repetição desde pelo menos 2014. Como apontado por Brian Krebs, uma pequena instituição financeira da Nova Inglaterra enfrentou cerca de US$ 120.000 em cobranças fraudulentas de lojas brasileiras em menos de dois dias. O banco conseguiu bloquear US$ 80.000, mas o processador do banco, que aprova as transações recebidas quando os sistemas principais estão offline, deixou passar os outros US$ 40.000. Todas as transações fraudulentas foram cobranças de débito. Todos eles se depararam com a rede da MasterCard e pareciam ser transações de chip sem um PIN para os sistemas da MasterCard.

Teve ainda o ataque a um banco alemão em 2019, que registou prejuízos de 1,5 milhões de euros e utilizou a mesma técnica. A gangue Prilex reivindicou a responsabilidade. A julgar pelos campos de nome e pela funcionalidade da ferramenta, eles provavelmente usaram o software que estão vendendo no mercado negro.

Para automatizar ataques com cartões de crédito clonados, os criminosos Prilex usaram ferramentas como o Xiello, descoberto por nossa telemetria em 2020. Essa ferramenta permite que os cibercriminosos usem cartões de crédito em lote ao fazer compras fraudulentas. Ele envia os dados da compra para as adquirentes do cartão de crédito, que aprovam ou negam as transações.

Ferramenta Xiello usada pelo Prilex para automatizar transações

Ferramenta Xiello usada pelo Prilex para automatizar transações

À medida que a indústria de pagamentos e os emissores de cartões de crédito corrigiam os erros de implementação do EMV, os ataques de repetição tornaram-se obsoletos e ineficazes, levando a gangue Prilex a inovar e adotar outras formas de fraude de cartão de crédito.

Malware como serviço

Em 2019, um site que alegava ser afiliado ao Prilex começou a oferecer o que dizia ser um pacote de malware criado pelo grupo. Temos pouca confiança nessas alegações: o site pode ser operado por imitadores tentando se passar pelo grupo e ganhar algum dinheiro usando a reputação que o Prilex conquistou ao longo dos anos.

Este site ainda estava em funcionamento no momento em que o Securelist preparou o seu artigo.

O preço pedido para o que é supostamente um kit Prilex PoS é de US $ 3.500.

O site diz que seus proprietários trabalharam com cibercriminosos russos no passado, outra afirmação que não podemos confirmar. Também vale a pena mencionar que o serviço Digital Footprint Intelligence da Kaspersky encontrou citações de um pacote de malware Prilex vendido por meio de bate-papos do Telegram, em um canal clandestino, com preço entre € 10.000 e US $ 13.000, porém não tem como confirmar que o que está sendo oferecido é o verdadeiro malware Prilex.

Ao mesmo tempo, o Prilex agora usando o Subversion é um sinal claro de que eles estão trabalhando com mais de um desenvolvedor.

Conclusões

O grupo Prilex demonstrou um alto nível de conhecimento sobre transações com cartões de crédito e débito e como funciona o software usado para processamento de pagamentos. Isso permite que os invasores continuem atualizando suas ferramentas para encontrar uma maneira de contornar as políticas de autorização, permitindo que eles executem seus ataques.

Ao longo de anos de atividade, o grupo mudou muito suas técnicas de ataque. No entanto, sempre abusou dos processos relacionados ao software PoS para interceptar e modificar as comunicações com o PIN pad. Considerando isso, os pesquisadores sugerem fortemente que os desenvolvedores de software PoS implementem técnicas de autoproteção em seus módulos, visando evitar que códigos maliciosos adulterem as transações gerenciadas por esses módulos. Aos adquirentes e emissores de cartões de crédito, os pesquisadores recomendam evitar a “segurança por obscuridade”: não subestime o fraudador. Todas as validações EMV devem ser implementadas!

O sucesso do Prilex é o maior motivador para que novas famílias surjam como malware de evolução rápida e mais complexo, com grande impacto na cadeia de pagamento.

Fonte: Securelist 

Veja também:

Sobre mindsecblog 1871 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Prilex é um agente de ameaças brasileiro que evoluiu de ATM para POS – Neotel Segurança Digital

Deixe sua opinião!