prilex - RunkIntel

# Prilex > [!critical] Malware POS Brasileiro - Ameaça Nativa ao Ecossistema de Pagamentos LATAM > O Prilex é um malware brasileiro de ponto de venda (POS) extremamente sofisticado que evoluiu de ataques ATM (2014) para a técnica GHOST de roubo de criptogramas EMV, sendo o único malware documentado capaz de bloquear pagamentos por NFC/contactless para forçar inserção de chip - tornando-se uma ameaça exclusiva e crítica para o ecossistema de pagamentos do Brasil e América Latina. ## Descrição O [[prilex|Prilex]] é um malware de ponto de venda (POS) de origem brasileira, desenvolvido por um grupo criminoso com profundo conhecimento dos protocolos de transferência eletrônica de fundos (EFT/TEF) utilizados no mercado brasileiro. Surgiu por volta de 2014 como malware para caixas eletrônicos (ATMs) - responsável por infectar mais de 1.000 ATMs durante o carnaval de 2016 no Brasil, clonando mais de 28.000 cartões - e evoluiu a partir de 2016 para um sofisticado kit de malware modular voltado a terminais de pagamento. A característica técnica que diferencia o Prilex de outros malwares POS mundiais é a implementação de **transações GHOST**: o malware intercepta transações legítimas em andamento, modifica-as para extrair as informações do cartão e solicita novos **criptogramas EMV** diretamente do chip do cartão da vítima. Esses criptogramas frescos são então utilizados pelos atacantes em seus próprios terminais POS para aprovações fraudulentas - um ataque que contorna a proteção contra replay dos cartões chip-and-PIN, tornando os cartões com chip tão vulneráveis quanto os cartões de tarja magnética. Em 2022-2023, variantes do Prilex (como a versão 06.03.8080) introduziram a capacidade de **bloquear pagamentos NFC/contactless**: ao detectar uma tentativa de pagamento por aproximação, o malware recusa a transação, forçando o cliente a inserir o cartão físico no leitor - onde o chip pode ser manipulado pelo malware. O Prilex é o único malware documentado mundialmente com essa capacidade específica de evasão de NFC, demonstrando conhecimento avançado das implementações EMV no mercado brasileiro. A arquitetura do Prilex é modular e inclui ferramentas complementares: **SPSniffer** para captura de tráfego serial entre software POS e PIN pads, **Xiello** para automação de fraude em lote com cartões clonados, e módulos de backdoor e upload para persistência. O vetor de acesso inicial tipicamente envolve **engenharia social** - operadores se passam por técnicos de suporte para obter acesso físico ou remoto aos terminais. O grupo passou a operar no modelo **malware-as-a-service**, vendendo o kit para outros criminosos além do Brasil, expandindo o alcance geográfico das ameaças. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Collection | [[t1056-002-gui-input-capture\|T1056.002]] | Hooking de APIs Windows para captura de dados TRACK2 | | Defense Evasion | [[t1055-process-injection\|T1055]] | Injeção de código nos processos do software EFT/TEF | | Defense Evasion | [[t1027-obfuscated-files\|T1027]] | Ofuscação de payloads e comunicação C2 | | Command and Control | [[t1071-application-layer-protocol\|T1071]] | Comúnicação C2 para receber instruções e exfiltrar dados | | Credential Access | [[t1185-browser-session-hijacking\|T1185]] | Interceptação de transações e modificação de criptogramas EMV | | Privilege Escalation | [[t1134-access-token-manipulation\|T1134]] | Manipulação de tokens para acesso a processos POS | ## Grupos que Usam O Prilex é desenvolvido e operado por um **grupo criminoso brasileiro** não formalmente nomeado nos relatórios públicos. O grupo demonstra conhecimento especializado nos protocolos EFT/TEF do mercado brasileiro (incluindo software de vendors como [[cielo|Cielo]] e outros processadores nacionais). A expansão para modelo MaaS indica que múltiplos grupos afiliados podem agora operar variantes do Prilex. **Setores alvejados:** [[financial|financeiro]] - [[retail|varejo]] - postos de gasolina e supermercados brasileiros ## Detecção - Monitorar processos do sistema que acessam portas COM seriais de forma não esperada, especialmente hooks em DLLs do software EFT/TEF como modificações nas bibliotecas do software de TEF instalado - Implementar monitoramento de integridade de arquivos (FIM) nos binários e bibliotecas do software de ponto de venda para detectar patching em memória ou em disco - Verificar logs de transação para padrões anômalos como múltiplas solicitações de criptograma EMV para o mesmo cartão em curto período, indicativo de tentativas de geração de transações GHOST - Auditar acessos remotos ao terminal POS, especialmente por técnicos de suporte não agendados - vetor de acesso inicial documentado do grupo Prilex ```sigma title: Prilex - POS Serial Port Hooking status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\prilex.exe' CommandLine|contains: - 'COM' filter: Image|startswith: 'C:\Program Files' condition: selection and not filter level: critical tags: - attack.collection - attack.t1056.002 ``` ## Relevância LATAM/Brasil O Prilex é a ameaça de maior relevância nativa para o ecossistema de pagamentos brasileiro. O Brasil possui o maior mercado de terminais POS da América Latina, com dezenas de milhões de transações por dia processadas por software TEF de vendors nacionais específicos que o Prilex foi projetado para atacar. A técnica GHOST de roubo de criptograma EMV explora características específicas das implementações brasileiras do padrão EMV, onde nem todos os dados são verificados pelo processador, diferenciando-se de implementações mais restritivas em outros mercados. O bloqueio de NFC é particularmente relevante no contexto brasileiro pós-pandemia, onde o pagamento por aproximação cresceu mais de 200%, tornando consumidores mais susceptíveis a experimentar falhas em pagamentos contactless que não reconhecem como ataque. A **Cielo**, que processa aproximadamente 10% do PIB brasileiro em transações, foi documentada como alvo do ecossistema criminoso do Prilex. Setores como [[retail|varejo]], postos de combustível e supermercados são os principais vetores de propagação em território nacional. **Setores impactados:** [[financial|financeiro]] - [[retail|varejo]] - [[energy|energia]] (postos de combustível) ## Referências - [1](https://securelist.com/prilex-atm-pos-malware-evolution/107551/) Kaspersky Securelist - Prilex ATM/POS Malware Evolution (2022) - [2](https://thehackernews.com/2023/02/prilex-pos-malware-evolves-to-block.html) The Hacker News - Prilex POS Malware Evolves to Block Contactless Payments (2023) - [3](https://rhisac.org/threat-intelligence/prilex-pos-malware-targeting-contactless-credit-card-transactions/) RH-ISAC - Prilex POS Malware Targeting Contactless Transactions - [4](https://www.kaspersky.com/about/press-releases/the-infamous-prilex-threat-actor-sells-new-dangerous-and-sophisticated-pos-malware-across-the-globe) Kaspersky - Prilex Threat Actor Sells POS Malware Globally