I ricercatori Kaspersky Lab hanno scoperto una nuova versione del malware Prilex. Dopo aver rubato alle banche milioni di dollari, il threat actor (ovvero una persona o un gruppo di persone che hanno intenzione di causare danni a livello informatico) ha cominciato a prendere di mira anche i POS.
Antonio Pontrelli e Rosita Galiandro di Exprivia spiegano: «La storia ci insegna che difficilmente i malware hanno vita breve e anche a distanza di anni dal primo avvistamento, vengono diffusi con upgrade di funzionalità e di nuove vulnerabilità zero-day (una vulnerabilità di un software non nota agli sviluppatori)».
Fabrizio Croce, di WatchGuard Technologies dice: «Per riuscire a penetrare all’interno di un sistema informatico e installare un software malevolo esistono diverse strade, ma tutte convergono in un punto: sfruttare l’ingegneria sociale».
L’evoluzione di Prilex
Prilex si è evoluto e ha cominciato a prendere di mira i POS. Inizialmente era un memory scraper, cioè un malware che esegue la scansione della memoria dei dispositivi digitali per raccogliere informazioni sensibili. Ora è diventato un malware sofisticato, in grado di bypassare i blocchi appositamente pensati da banche o agenzie per evitare proprio questa tipologia di truffa.
Pontrelli e Galiandro sottolineano: «Il malware Prilex, nato come malware incentrato sugli ATM nel 2014 e nel 2016 è passato ai dispositivi POS. Mentre la distribuzione è stata molto attiva nel 2020, il malware è scomparso dai radar dei sistemi di sicurezza nel 2021».
I criminali informatici stanno vendendo il virus sul dark web come Malware-as-a-Service. Ci troviamo di fronte ad una democratizzazione e monetizzazione dei virus e del malware. Esistono, infatti, piattaforme che consentono a chiunque di acquistare virus, trojan o ransomware, aumentando il rischio di perdite economiche per le aziende di tutto il mondo.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
Un malware che muta velocemente
La minaccia, ad oggi, non è soltanto complessa e avanzata, ma muta velocemente. Il malware agisce in modo sfuggente, sferrando attacchi da remoto: le vittime e i gruppi cyber criminali, infatti, non hanno alcun contatto.
Per questi motivi è estremamente difficile identificare chi c’è dietro Prilex. Prima di attaccare la vittima, i cyber criminali svolgono uno screening iniziale del dispositivo per monitorare le transazioni già avvenute – ma soprattutto per stabilire se il gioco vale la candela. In caso di attacco, il malware andrà a captare tutte le transazioni in corso, modificando il loro contenuto e rubando le informazioni della carta di credito.
«L’anello debole in qualsiasi catena di sicurezza è il fattore umano. In questo caso, addirittura, serve qualcuno che spacciandosi per tecnico convinca il negoziante che il POS va aggiornato. Deve quindi fisicamente metterci le mani per installare il malware» continua Fabrizio Croce.
Un po’ di tecnicismi
I cyber criminali vendono Prilex in molti siti web e canali Telegram. Offrono le ultime versioni del malware con prezzi che variano da 3.500 a 13.000 dollari.
Prilex è in grado di generare i crittogrammi EMV (Europay, Mastercard e Visa). Si tratta di una funzionalità introdotta pochi anni fa, che permette di verificare la validità delle transazioni, prevenendo in tal modo i pagamenti ingannevoli.
«La versione iniziale di Prilex era in grado di eseguire attacchi di tipo replay attack», che colpiscono le reti informatiche al fine di impossessarsi di credenziali di autenticazione comunicate da un host all’altro, per riproporle simulando l’identità dell’emittente. Queste tipologie di attacchi «sono diventate obsolete e inefficaci, spingendo gli autori di Prilex ad innovare e ad adottare altri metodi di frode con carta di credito».
Le nuove versioni di Prilex utilizzano «attacchi di tipo GHOST (che utilizzano i crittogrammi generati dalla carta della vittima durante il pagamento). Prilex installa una backdoor (una “porta sul retro” che raggira l’autenticazione), uno stealer (un Trojan che raccoglie informazioni da un sistema) per intercettare tutti gli scambi di dati e un modulo uploader per l’esfiltrazione».
Necessarie politiche “zero trust”
I negozianti devono prestare molta attenzione per evitare di cadere nelle trappole dei cyber criminali.
«Prilex non è un tipo di malware che viene distribuito tramite campagne di spam via mail», concludono Pontrelli e Galiandro, «è altamente mirato e di solito viene fornito tramite l’ingegneria sociale. Ad esempio, un azienda target può ricevere una chiamata da un “tecnico” che insiste sul fatto che l’azienda deve aggiornare il proprio software POS. Il falso tecnico può visitare l’obiettivo di una persona o richiedere alle vittime di installare AnyDesk e fornire l’accesso remoto per installare il malware».
Consiglia Fabrizio Croce: «Qualsiasi azienda deve sempre e comunque non solo proteggere i suoi terminali, ma anche avere delle stringenti politiche “zero trust” su chi abbia l’autorizzazione ad usare i sistemi e in che modalità, sia che sia un dipendente dell’azienda che un utente remoto».
Prilex è responsabile di uno dei più grandi attacchi ai bancomat del Brasile. Nel Carnevale del 2016 il malware ha svuotato più di 1.000 sportelli bancomat e clonato 28.000 carte di credito.
——————————–
LEGGI ANCHE:
Ritratti in udienza: arriva in Italia l’arte durante i processi penali