Uma equipa de investigadores da Kaspersky descobriu novas variantes do malware Prillex, que agora pode bloquear pagamentos NFC para forçar as vítimas a utilizarem o cartão físico.
O malware Prillex tem-se focado no ataque aos PoS (Point-of-Sale / Terminais de pagamento), procurando roubar os dados dos cartãos de pagamento utilizados, e que até possibilitavam ataques de cartões com chip. Nas versões mais recentes, foi detectado um novo sistema para conseguir esse objectivo, impedindo a utilização do método de pagamento NFC.
Durante um pagamento conctactless são utilizados dados temporários válidos apenas para aquela operação, que não são de utilidade para os atacantes. Como tal, a táctica que agora foi detectada consiste no bloqueio dos pagamentos via NFC, apresentando um falso erro de comunicação, para forçar as potenciais vítimas a utilizarem o cartão físico real e, dessa forma, caírem dentro do processo tradicional de roubo de dados que já era utilizado.
O objetivo dos criminosos informáticos é forçar a vítima a utilizar o seu cartão físico, inserindo-o no leitor de PIN pad, para que o malware possa capturar dados provenientes da transação, utilizando todos os meios disponíveis para o Prilex, tais como a manipulação de criptogramas para realizar ataques GHOST. Outra nova característica adicionada às últimas amostras do Prilex é a possibilidade de filtrar cartões de crédito de acordo com o seu segmento, e criar regras diferentes para segmentos diferentes. Por exemplo, podem bloquear NFC e capturar dados do cartão, apenas se o cartão foi Preto/Infinito, Corporate ou outro com limite de transação elevado, o que é muito mais atrativo do que os cartões de crédito normais, com saldo/limite baixo.
A Prilex está a operar na região da América Latina desde 2014 e está alegadamente por trás de um dos maiores ataques na região. Durante o Carnaval do Rio em 2016, o ator clonou mais de 28.000 cartões de crédito e drenou mais de 1.000 caixas de multibanco nos bancos brasileiros. Agora, expandiu os seus ataques a nível mundial. Foi visto na Alemanha em 2019 quando um gang criminoso clonou cartões de débito Mastercard emitidos pelo banco alemão OLB e retirou mais de 1,5 milhões de euros de cerca de 2.000 clientes. Quanto às modificações recentemente descobertas, foram detetadas no Brasil – no entanto, podem também alastrar a outros países e regiões.
Portanto, se se depararem com terminais que apresentem erros nos pagamentos contactless, poderá ser sinal de alerta para que tenham cuidado com a forma como irão fazer o pagamento.
(Ptnik)