Com o crescimento acelerado dos ataques cibernéticos, entender quais são os malwares mais perigosos e em ascensão tornou-se fundamental para a proteção das empresas brasileiras. Apenas em 2024, o país sofreu bilhões de tentativas de invasão, evidenciando a necessidade urgente de ampliar a vigilância e reforçar defesas.
O que é um malware?
Malware (abreviação de malicious software) é qualquer programa de computador desenvolvido para infiltrar-se em sistemas e causar danos ou obter acesso não autorizado. Esses softwares maliciosos podem se propagar de diversas formas (por exemplo, e-mail, sites infectados, dispositivos USB) e assumir múltiplas variantes, incluindo vírus, worms, trojans, ransomware e spyware.
O objetivo de um malware varia desde roubo de dados confidenciais (como credenciais bancárias e informações pessoais) até interrupção operacional de sistemas corporativos. Em suma, trata-se de uma ferramenta do cibercrime profissional que representa uma séria ameaça tanto para usuários individuais quanto para organizações empresariais. Dados recentes mostram um aumento significativo dessas ameaças – por exemplo, o Brasil sofreu 356 bilhões de tentativas de ataques cibernéticos somente em 2024 – enfatizando a necessidade de vigilância e defesas robustas nas empresas.
A seguir, apresentamos seis malwares em ascensão, focando em ameaças reais aos ambientes corporativos, especialmente no Brasil. Para cada malware, são descritos sua funcionalidade, principais vetores de ataque, impactos para as empresas, e táticas de evasão empregadas pelos criminosos.
FakeUpdates (SocGholish): downloaders de falsas atualizações
Funcionalidade: O FakeUpdates, também conhecido como SocGholish, é um malware do tipo downloader escrito em JavaScript que entrega outras cargas maliciosas no sistema. Após enganar o usuário para executá-lo, ele grava e executa payloads adicionais no computador da vítima, abrindo porta para infecções secundárias.
Esse artifício frequentemente resulta em comprometimentos mais profundos, já que o FakeUpdates pode instalar desde trojans bancários até ransomware – por exemplo, campanhas SocGholish já levaram à instalação de malware como o trojan Dridex e até ransomware da família DoppelPaymer.
Vetor de ataque: Seu método de infecção baseia-se em engenharia social via navegação web. Os operadores do FakeUpdates comprometem sites legítimos e exibem avisos falsos de atualização de software (geralmente se passando por atualizações de navegador) para induzir visitantes a baixar e executar o malware. Trata-se de um típico ataque drive-by download: o usuário acessa uma página aparentemente confiável e recebe um prompt para atualizar algum programa; ao aceitar, acaba instalando o código malicioso. Por usar sites legítimos invadidos como vetor, esse esquema atinge um público amplo e aumenta a taxa de sucesso do engano.
Impacto nas empresas: Uma vez presente no ambiente, o FakeUpdates atua como porta de entrada para ameaças mais graves. Ele pode realizar redirects de tráfego e baixar cargas adicionais, permitindo aos invasores roubar dados sensíveis do sistema do usuário ou instalar ferramentas de acesso remoto clandestinas.
No contexto corporativo, isso significa que um funcionário enganado por uma falsa atualização pode involuntariamente dar acesso inicial aos atacantes, culminando em comprometimento de redes inteiras e possíveis ataques de dupla extorsão (se um ransomware for implantado na sequência).
Ou seja, o FakeUpdates frequentemente é o primeiro estágio de incursões maiores, abrindo caminho para espionagem corporativa ou interrupção operacional severa.
Táticas de evasão: O sucesso e longevidade do FakeUpdates/SocGholish decorrem também de suas técnicas de evasão e adaptabilidade. Ele utiliza iscas de aparência legítima (atualizações de software conhecidas) para passar despercebido pelo usuário e, uma vez instalado, emprega métodos variados para dificultar sua detecção. Por exemplo, o código do SocGholish é facilmente customizável pelos criminosos, que podem modificá-lo para evitar a detecção por antivírus e filtros de e-mail.
Essa flexibilidade permite que o malware se mantenha à frente das defesas tradicionais, alterando rapidamente suas características de assinatura. Além disso, por depender sobretudo de técnicas de engenharia social (em vez de exploits ou comportamento suspeito evidente), o FakeUpdates consegue driblar filtros de segurança baseados apenas em análise técnica, explorando principalmente a confiança do usuário.
AndroxGh0st: Botnet multiplataforma voltado a credenciais em nuvem
Funcionalidade: O AndroxGh0st é um malware do tipo botnet e trojan backdoor que se destaca por alvo multiplataforma – ele consegue infectar sistemas.
Sua principal função é roubar informações sensíveis de servidores e aplicações web comprometidas. O AndroxGh0st busca especificamente credenciais e dados de serviços corporativos em nuvem: por exemplo, tokens e chaves de acesso da AWS, credenciais de envio de e-mail (SMTP), informações de contas Twilio e outras variáveis de ambiente de aplicações web.
Variantes do malware podem escanear diferentes tipos de informação, mas o objetivo comum é exfiltrar dados confidenciais que permitam controle indevido de recursos corporativos online. Em alguns casos documentados, os operadores do AndroxGh0st utilizaram o acesso obtido para distribuir ransomware em etapas posteriores (foi observado vínculo com o ransomware Adhubllka, indicando uso do AndroxGh0st para preparar terreno para uma extorsão).
Vetor de ataque: Diferentemente de malwares disseminados via e-mail ou executáveis baixados, o AndroxGh0st propaga-se explorando vulnerabilidades em servidores web expostos. Pesquisadores e alertas governamentais relataram que este malware trojan tem preferência por falhas conhecidas em frameworks e ferramentas web – notadamente brechas no framework Laravel (CVE-2021-3129) e no componente PHPUnit, além de vulnerabilidades em servidores Apache.
Os criminosos escaneiam a internet em busca de servidores corporativos vulneráveis; ao encontrar um alvo, exploram a falha para instalar web shells (portas dos fundos no servidor) e então implantam o AndroxGh0st. Em seguida, o malware acessa arquivos de configuração (especialmente os “.env” do Laravel) para coletar segredos armazenados, como chaves de API e senhas.
Ou seja, aplicações corporativas desatualizadas ou mal configuradas na web são o ponto de entrada típico desse ataque, que ocorre sem intervenção do usuário final.
Impacto nas empresas: O comprometimento por AndroxGh0st representa risco sério à infraestrutura corporativa em nuvem e dados sensíveis. Com as credenciais obtidas (por exemplo, chaves AWS, contas de e-mail, APIs de terceiros), criminosos podem escalar acessos a serviços críticos – potencialmente lendo e-mails confidenciais, acessando armazenamento em nuvem, enviando mensagens em nome da empresa ou manipulando outros ativos integrados aos sistemas.
Isso pode levar à violação de dados em larga escala (exfiltração de bancos de dados, segredos industriais) e até abuso da infraestrutura da empresa para ataques adicionais. Além disso, ao implantar botnets em servidores, os criminosos conseguem manter acesso persistente e controlar vários sistemas corporativos simultaneamente.
Táticas de evasão: O AndroxGh0st emprega técnicas sutis para permanecer oculto nos servidores infectados. Por ser inserido através de web shells e operar dentro do contexto de aplicações web legítimas (como processos do servidor web ou do framework PHP), sua atividade pode se confundir com tráfego normal do sistema, dificultando a detecção. Ademais, a natureza multiplataforma indica que os desenvolvedores do malware o escreveram (em Python, segundo análises) de forma a rodar em diferentes ambientes, aumentando o desafio de defesa, pois ele pode evitar mecanismos específicos de um único sistema operacional.
Também foram observadas táticas de living-off-the-land, onde o malware utiliza ferramentas e comandos já presentes no sistema para coletar dados, em vez de executar binários facilmente identificáveis. Por fim, ao focar em roubo de arquivos de configuração (.env) e dados já disponíveis no servidor, o AndroxGh0st evita gerar comportamento anômalo evidente, agindo mais como um ladrão silencioso de informações do que como um malware destrutivo – até que os hackers decidam escalar o ataque para algo ruidoso, como ransomware, momento em que já pode ser tarde para os defensores reagirem.
Agent Tesla: trojan de acesso remoto e furto de informações
Funcionalidade: Agent Tesla é um trojan avançado de acesso remoto (RAT) combinado com funcionalidade de keylogger e infostealer. Uma vez instalado em um sistema Windows, ele passa a espionar a máquina infectada, capturando praticamente tudo que o usuário faz ou armazena. Entre as informações coletadas estão pressionamentos de teclas (para roubar senhas digitadas), conteúdo da área de transferência, capturas de tela do desktop e credenciais salvas em diversos softwares.
O Agent Tesla tem módulos específicos para extrair dados de aplicativos populares – por exemplo, navegadores web (Chrome, Firefox etc.) para obter logins salvos, clientes de e-mail (como Outlook) para roubar contatos e credenciais, além de informações básicas do sistema (nome do computador, usuário, especificações).
Em resumo, a funcionalidade do Agent Tesla permite ao atacante monitorar remotamente a vítima e exfiltrar uma grande variedade de dados sensíveis, concedendo controle e conhecimento aprofundado sobre o ambiente comprometido.
Vetor de ataque: Esse malware se prolifera principalmente via phishing. Campanhas maliciosas enviam e-mails com anexos ou links disfarçados de documentos de negócio (faturas, comprovantes, etc.), direcionados muitas vezes a usuários corporativos. O Agent Tesla costuma vir embutido em documentos do Office armados ou em instaladores falsos.
Pesquisas recentes do FortiGuard Labs identificaram campanhas usando anexos do Microsoft Excel maliciosos e explorando vulnerabilidades conhecidas (por exemplo, CVE-2017-0199) para executar código e carregar o Agent Tesla na máquina da vítima. Além disso, o malware adota uma cadeia de infecção multifásica e “fileless”: pode usar scripts em JavaScript, comandos PowerShell e outros mecanismos para injetar seu módulo principal na memória, evitando deixar arquivos suspeitos no disco.
Essa abordagem de múltiplas camadas dificulta a detecção, pois mistura técnicas – como abuso de macros do Office, execução de código via scripts e download de componentes adicionais – tudo para enganar filtros de e-mail e soluções de endpoint tradicionais.
Impacto nas empresas: Uma infecção por Agent Tesla dentro de uma rede corporativa significa vazamento silencioso de informações confidenciais. Dados de login capturados podem incluir credenciais de VPN, sistemas internos e contas de e-mail corporativo, facilitando movimentação lateral dos invasores pela rede da empresa. Além disso, o roubo de correspondências e contatos pode levar a fraudes financeiras (por exemplo, interceptação de faturas para desvio de pagamentos) e a ataques de phishing internos, usando contas legítimas comprometidas.
O Agent Tesla é comercializado em fóruns clandestinos como um serviço (Malware-as-a-Service) desde meados de 2014, o que ampliou seu uso por diversos grupos criminosos. Assim, empresas ao redor do mundo, incluindo no Brasil, vêm enfrentando incidentes em que esse malware foi o responsável por grandes perdas de dados e custos de remediação – seja diretamente, pelo roubo de informação sensível (propriedade intelectual, dados de clientes), ou indiretamente, ao abrir caminho para que os invasores instalem outras ameaças (como ransomware) após obterem credenciais privilegiadas na rede.
Táticas de evasão: O Agent Tesla destaca-se por uma variedade de técnicas para driblar análises de segurança. Ele incorpora módulos de ofuscação em seu código .NET para dificultar a engenharia reversa e usar anti-debugging, de modo a atrasar ou impedir a ação de analistas e sandboxes automatizadas.
Durante o ataque, segmentos do malware podem permanecer apenas em memória (fileless), tornando a detecção mais complicada, já que não há arquivos maliciosos óbvios no disco. Ademais, ao abusar de processos legítimos (como executando comandos via PowerShell ou explorando o Microsoft Office), o Agent Tesla se esconde sob o manto de atividades confiáveis do sistema. Ele também pode usar protocolos comuns (SMTP, FTP) para exfiltrar dados, mesclando tráfego malicioso ao tráfego normal de rede.
Por fim, vale notar que existem inúmeras versões do Agent Tesla disponíveis, e seus autores frequentemente atualizam o malware com novas funções e melhorias de stealth; isso, combinado ao seu baixo custo no submundo, faz com que antivírus desatualizados ou mal configurados tenham dificuldade em detectá-lo de forma consistente.
LockBit 3.0: ransomware de dupla extorsão como serviço
Funcionalidade: LockBit (atualmente na versão LockBit 3.0) é um ransomware sofisticado operado no modelo de Ransomware-as-a-Service (RaaS). É considerado uma das operações de ransomware mais ativas do mundo nos últimos anos. Sua função principal é criptografar os dados nos sistemas das vítimas, bloqueando acesso a arquivos e interrompendo as operações até que um resgate seja pago. Paralelamente, o LockBit também executa a exfiltração de dados confidenciais antes da criptografia – prática de “dupla extorsão” – ameaçando divulgar ou vender as informações roubadas caso a vítima não pague.
Esse ransomware possui forte capacidade de automação: uma vez dentro da rede corporativa, ele se propaga rapidamente pelos servidores e PCs, usando mecanismos de distribuição próprios (como scripts para desligar serviços e espalhar a carga criptografante pela rede). Com uma base de código refinada ao longo de várias versões, o LockBit é conhecido por sua eficiência e velocidade ao cifrar grandes volumes de dados, bem como pela dificuldade de quebrar sua criptografia sem a chave de decodificação dos atacantes.
Vetor de ataque: O LockBit geralmente não infecta via spam diretamente, mas sim entra em cena após os criminosos obterem acesso prévio à rede alvo. Os afiliados do LockBit RaaS empregam diversos métodos para esse acesso inicial: podem explorar credenciais RDP/VPN fracas, brechas em servidores expostos, ou usar trojans de acesso (como Emotet, Qakbot ou Agent Tesla) para abrir caminho. Uma vez com acesso a um ponto na rede corporativa, os invasores executam o binário do LockBit nos servidores críticos.
Em alguns casos, eles se aproveitam de ferramentas de gerenciamento de software legítimas (como o Microsoft Group Policy ou scripts de login) para distribuir o ransomware simultaneamente em múltiplas máquinas, maximizando o impacto antes que haja tempo de resposta. A engenharia social direcionada também ocorre – por exemplo, ataques a fornecedores ou parceiros da empresa, cuja rede comprometida serve de trampolim para implantar o LockBit na vítima final (ataque à cadeia de suprimentos).
O LockBit costuma marcar a fase final de um ataque complexo: após a infiltração e reconhecimento na rede corporativa, ele é desencadeado para causar o dano e forçar a extorsão.
Impacto nas empresas: Como ransomware de ponta, o LockBit já causou danos severos a empresas de diversos setores globalmente, incluindo no Brasil. Relatórios de ameaça apontam que o LockBit 3.0 foi o ransomware mais ativo em 2024, responsável por cerca de 9% dos incidentes de sequestro de dados divulgados publicamente naquele ano.
O impacto típico de um ataque LockBit é duplo: primeiro, interrupção imediata de operações devido à indisponibilidade de sistemas e dados (impacto operacional) e, segundo, uma crise de vazamento de dados (impacto reputacional e legal) caso as informações roubadas sejam publicadas. Empresas vítimas enfrentam paralisação de atividades essenciais, perda de confiança de clientes e potenciais multas regulatórias (especialmente se dados pessoais forem expostos).
No contexto brasileiro, o LockBit e outros grupos de ransomware vêm agressivamente mirando organizações locais – houve pelo menos 166 ataques de ransomware direcionados ao Brasil em 2024, com LockBit 3.0 destacando-se entre os principais responsáveis.
Os prejuízos podem incluir demandas de resgate de milhões de dólares, custos de recuperação de infraestrutura e implementação de melhorias de segurança pós-incidente. Além disso, a notoriedade do LockBit é tamanha que houve operações internacionais de polícia para tentar desmantelá-lo (e.g. Operation Cronos em 2024), embora o grupo continue ativo.
Táticas de evasão: O LockBit 3.0 incorpora múltiplas camadas de evasão para frustrar defesas. Antes de iniciar a criptografia, ele normalmente desabilita soluções de segurança no host – por exemplo, encerra processos de antivírus e backups (kill-AV) e limpa logs onde possível. Seu binário conta com técnicas anti-análise: pesquisadores notaram que o malware não executa sua carga sem fornecer uma senha correta via linha de comando, o que dificulta sua ativação em ambientes de sandbox ou por analistas que não possuam essa senha.
Esse recurso, similar ao comportamento do BlackCat, impede que amostras sejam detonadas facilmente por ferramentas automatizadas. O LockBit também ofusca partes do seu código e strings, tornando mais difícil para scanners estáticos identificá-lo. Além do mais, a operação RaaS do LockBit introduziu um programa de bug bounty próprio, pagando a outros criminosos por vulnerabilidades ou melhorias – graças a isso, versões sucessivas do malware têm corrigido falhas e se tornado mais resilientes a contramedidas.
BlackCat (ALPHV): ransomware avançado de alta velocidade e alcance
Funcionalidade: O BlackCat, também conhecido como ALPHV, é um ransomware de última geração notável por ter sido escrito em linguagem Rust – fato incomum que o torna altamente modular e multiplataforma (capaz de atacar Windows, Linux e VMware/ESXi). Operando igualmente em modelo RaaS, o BlackCat ganhou fama pela velocidade e discrição de suas operações: uma atualização chamada variante Sphynx (lançada em 2023) aprimorou ainda mais sua rapidez de criptografia e técnicas de furtividade durante os ataques.
Desde sua aparição no final de 2021, estima-se que o grupo ALPHV/BlackCat já tenha atacado mais de 350 vítimas ao redor do mundo até meados de 2023 – número que continuou a crescer em 2024, com inúmeras empresas de grande porte em sua lista de alvos.
O ransomware executa criptografia dos dados semelhante a outros da categoria, combinada com roubo massivo de informações para extorsão. Diferentemente de alguns antecessores, o BlackCat é altamente configurável pelos afiliados: eles podem definir parâmetros como porcentagem de certos arquivos a criptografar, métodos de persistência e até customizar notas de resgate. Esse nível de flexibilidade técnica, somado à eficiência do código em Rust, faz do BlackCat uma ferramenta muito perigosa e eficaz nas mãos de criminosos cibernéticos.
Vetor de ataque: As infecções por BlackCat usualmente decorrem de operações de intrusão complexas, semelhante ao LockBit. Os afiliados primeiro ganham acesso à rede corporativa – seja via phishing direcionado (para obter credenciais de administrador), exploração de vulnerabilidades não corrigidas, ou comprando acessos de outros hackers no submundo.
Uma técnica associada ao BlackCat é o uso de malvertising e SEO poisoning: os atacantes criam anúncios maliciosos ou sites falsos que aparecem em resultados de busca de softwares legítimos (por exemplo, quando alguém procura por “WinSCP download”), induzindo os usuários a baixarem instaladores trojanizados.
Nesse cenário, um backdoor (como um beacon do Cobalt Strike) é instalado primeiro e permite aos criminosos fazer reconhecimento, escalar privilégios e desativar defesas, para então implantar o ransomware BlackCat em estágio final. Em vários incidentes, o grupo mostrou preferência por alvos de grande porte e dados valiosos – por exemplo, em fevereiro de 2024, um afiliado do BlackCat invadiu a empresa norte-americana Change Healthcare (ligada à UnitedHealth Group) e conseguiu exfiltrar dados de mais de 100 milhões de pacientes antes de criptografar sistemas, caracterizando o maior vazamento de dados de saúde da história nos EUA.
Esse caso ilustra bem o vetor típico: uma invasão inicial silenciosa, seguida de movimentação lateral extensa e, por fim, a detonação coordenada do ransomware em servidores e endpoints críticos.
Impacto nas empresas: O BlackCat consolidou-se como uma das ameaças de ransomware mais devastadoras para empresas. Suas vítimas incluem desde órgãos governamentais e empresas de energia até companhias de tecnologia e instituições financeiras, muitas delas sujeitas a perdas multimilionárias. Os impactos são semelhantes aos do LockBit (interrupção operacional e vazamento de dados), porém o BlackCat frequentemente visa quantidades massivas de informações e demonstra alta competência em monetizar ataques.
Com a exposição de centenas de gigabytes de dados sensíveis, as empresas atacadas enfrentam processos judiciais, penalidades de reguladores (no caso de violações de privacidade) e danos reputacionais de longo prazo. No Brasil, o BlackCat (ALPHV) esteve entre os grupos que mais atacaram organizações em 2024, ao lado do próprio LockBit.
A tática de extorsão dupla do grupo é agressiva: além da chantagem com dados, eles costumam listar publicamente as vítimas em sites de vazamento (“shame sites”) para pressioná-las, incluindo contagem regressiva para publicação de dados.
Mesmo quem paga o resgate não está totalmente protegido – casos ocorreram em que filiais ou parceiros da empresa foram atacados em seguida pelo mesmo grupo.
Táticas de evasão: O design do BlackCat enfatiza furtividade e resistência às defesas. Como mencionado, o binário do ransomware pode requerer uma senha específica para ser executado (um método que o LockBit adotou em resposta), o que impede detoná-lo acidentalmente em ambientes controlados.
O BlackCat também incorpora “lixo de código” e strings criptografadas para atrapalhar análises estáticas e assinaturas baseadas em padrões. Durante suas operações na rede-alvo, os atacantes costumam desativar mecanismos de segurança e apagar backups de forma sistemática antes de acionar o ransomware, reduzindo as chances de recuperação.
A linguagem Rust, além de prover desempenho, dificulta a engenharia reversa tradicional por não ser tão familiar no desenvolvimento de malware e gerar binários complexos e menos compatíveis com ferramentas padrões de análise. Vale destacar que o modelo de negócio do BlackCat incentiva a profissionalização dos afiliados: de acordo com pesquisas, o grupo oferece uma fatia de 80-90% do lucro aos criminosos que realizam os ataques (uma porcentagem maior que a maioria dos RaaS).
Isso atrai hackers experientes e motiva reinvestimento por parte deles (em compra de exploits, acesso inicial, etc.), o que reflete em ataques tecnicamente mais bem executados.
Prilex: malware de PoS voltado para fraudes com cartões de crédito
Funcionalidade: Prilex é um malware modular especializado em atacar sistemas de Ponto de Venda (PoS) e terminais bancários, visando o roubo de dados de cartões de crédito e débito. Originado no Brasil e em atividade desde meados de 2014, o Prilex evoluiu de um simples malware de caixa eletrônico para uma plataforma complexa de fraudes no setor de pagamentos.
Sua funcionalidade principal é capturar informações da faixa magnética e dos chips EMV de cartões durante transações legítimas, assim como dados de autenticação (PINs, códigos de autorização). Em versões recentes, o Prilex incorporou uma capacidade particularmente astuta: bloquear transações por aproximação (NFC) em máquinas infectadas.
Ao detectar que um cliente tenta usar pagamento por aproximação (que gera tokens únicos difíceis de reutilizar), o malware induz uma falha e exibe uma mensagem de erro – obrigando o cliente a inserir fisicamente o cartão no terminal.
Com o cartão inserido, o Prilex consegue então clonar os dados estáticos da tarja/chip e realizar o que se denomina “Ghost transaction”, ou seja, transações fraudulentas clonadas sem que o cartão físico esteja presente.
Vetor de ataque: O Prilex difere dos malwares anteriores pois não se espalha via internet para o usuário comum; em vez disso, seus operadores direcionam ataques a infraestruturas de pagamento específicas. Tipicamente, a infecção envolve comprometimento dos computadores que controlam terminais PoS ou caixas eletrônicos, muitas vezes através de acesso físico ou via assistência técnica maliciosa.
Há registros de incidentes no Brasil onde integrantes da quadrilha instalaram o malware diretamente nas redes internas de lojas ou bancos, aproveitando brechas no controle de acesso.
Outra possibilidade é a exploração de software PoS desatualizado: se os terminais executam versões vulneráveis de Windows ou aplicativos de pagamento, os atacantes podem injetar o Prilex na memória do sistema remotamente, após invadir a rede corporativa do estabelecimento (por exemplo, usando engenharia social para enganar um funcionário a rodar um programa de manutenção contaminado).
Uma vez presente no servidor ou no terminal, o Prilex se integra ao fluxo das transações. Importante notar que o alcance geográfico do Prilex expandiu – embora nascido no Brasil, ele foi identificado em ataques a sistemas PoS internacionalmente, em parte porque seus autores passaram a comercializá-lo como Malware-as-a-Service no submundo.
Isso indica que gangues em diferentes países podem adquirir e utilizar o Prilex, replicando o modelo de fraude inventado aqui. Portanto, o vetor de ataque envolve uma mescla de intrusão direcionada em redes corporativas de varejo/financeiras e a inserção manual do malware nos pontos de venda.
Impacto nas empresas: O Prilex representa uma ameaça de fraude financeira direta para empresas que lidam com pagamentos eletrônicos, como varejistas, restaurantes, redes de postos, bancos e provedores de caixas eletrônicos. Para essas empresas, uma infecção significa que transações de clientes estão sendo comprometidas em tempo real – cartões clonados levam a prejuízos financeiros tanto para os titulares quanto potencialmente para os estabelecimentos (em forma de chargebacks e perda de confiança).
Historicamente, o grupo Prilex já causou prejuízos massivos: em um ataque durante o Carnaval de 2016, criminosos clonaram mais de 28 mil cartões e esvaziaram 1.000 caixas eletrônicos de um grande banco brasileiro. Globalmente, estima-se que milhões de dólares foram roubados em diferentes operações atribuídas a essa quadrilha.
Para as empresas vítimas, além do rombo financeiro imediato, há impacto reputacional significativo – clientes afetados podem deixar de confiar no estabelecimento onde usaram seus cartões. Também existe risco legal/regulatório, pois violações de dados de cartão infringem normas como o PCI-DSS e podem acarretar multas. No caso de o malware ter sido implantado na infraestrutura de um provedor de serviços financeiros, o incidente pode escalar para um breach abrangendo milhares de consumidores.
Táticas de evasão: Operando num contexto distinto (terminais PoS), o Prilex adota táticas de furtividade específicas ao ambiente de pagamentos. Primeiro, ele é altamente modular – seus componentes ficam segmentados (por exemplo, módulo de captura de dados, módulo de comunicação, etc.), tornando mais difícil para uma solução de segurança detectar um “pacote completo” de comportamento malicioso.
O malware frequentemente atua em memória, realizando a captura de dados voláteis durante a transação e enviando-os criptografados para os criminosos, minimizando vestígios em disco. Ele também implementa listas de regras para decidir quando interceptar ou manipular uma transação (por exemplo, somente bloquear pagamentos contactless acima de determinado valor, para não levantar suspeitas em transações menores).
Ademais, o Prilex pode desativar temporariamente funcionalidades de segurança do terminal – há indicação de que ele consegue impedir softwares antivírus ou de whitelisting de processo nos sistemas PoS, explorando o fato de que muitos desses terminais executam versões legadas do Windows sem monitoramento rigoroso.
Por ser uma ameaça originalmente desenvolvida localmente, muitas soluções de segurança ocidentais demoraram a ter assinaturas eficazes contra o Prilex, o que deu vantagem aos atacantes. Por fim, o grupo por trás do Prilex se mantém ativo em atualizar o malware e até oferecer suporte clandestino aos “clientes” que alugam sua ferramenta na dark web– isso significa que novas variações e técnicas surgem regularmente, exigindo que as equipes de segurança de empresas brasileiras estejam sempre alertas a indicadores de comprometimento em sistemas de pagamento, mesmo que tudo aparentemente funcione de forma normal.
Cada um desses códigos maliciosos emprega vetores e táticas diferentes, mas todos compartilham a característica de evolução constante para burlar defesas e causar máximo impacto. Diante desse cenário, é fundamental que as organizações adotem uma postura proativa de segurança: mantendo sistemas atualizados, treinando funcionários contra phishing, segmentando redes e implementando soluções avançadas de detecção. Somente assim será possível mitigar os riscos representados por esses malwares emergentes, protegendo os negócios contra perdas financeiras e danos operacionais que eles podem impor.
