Conforme explica a perícia da ISH, os ataques do grupo evoluíram em complexidade com o passar dos anos. Inicialmente, eram feitos utilizando uma caixa preta anexada a caixas eletrônicos, para sequestrar a conexão sem fio da máquina e receber todos os dados das vítimas. Com o passar dos anos, o grupo passou a focar em dispositivos PoS (Pontos de Venda), nas máquinas utilizadas para realizar pagamentos em crédito e débito.

“Para realizar o ataque, os cibercriminosos entram em contato com empresas e afirmam fazerem parte de equipes de suporte a software dos meios de pagamentos, e orientam a realizarem instalação de uma atualização crítica nos sistemas e softwares”, explica Paulo Trindade, Gerente de Inteligência de Ameaças Cibernéticas da ISH Tecnologia. “Após isto, a empresa aceita a ‘isca’, e o artefato malicioso é implantado na máquina da vítima por meio de programas como o TeamViewer ou o AnyDesk.”

Com relação aos meios de pagamentos, o recebimento das informações roubadas é feito por meio de uma ferramenta de aplicação conhecida como “Daphne”, utilizada para clonagem de cartões. Por meio dela, os criminosos também ganham acesso a um banco de dados contendo os números de outros cartões.

Site e venda de máquinas comprometidas

Além da instalação do malware em máquinas de empresas, o Prilex também o vende na Deep Web. Na descrição, o grupo afirma que o ataque pode realizar a clonagem de cartões, que podem ser utilizados “livremente” para saques em dinheiro e compras. Além do malware, também é vendida uma máquina PoS comprometida, que possui um microchip embutido que rouba e armazena dados dos cartões toda vez que são usados. Essas informações são então enviadas ao criminoso via SMS, podendo assim serem controlados remotamente.