Le nuove versioni del malware Prilex sono in grado di bloccare le transazioni contactless sui dispositivi infetti. Secondo Kaspersky, in questo modo consentono ai cyber criminali di rubare denaro.
“Il settore dei pagamenti digitali è in rapida evoluzione e l’innovazione tecnologica, avvenuta nell’ultimo decennio, ha comportato un aumento esponenziale dei tentativi di frode sui diversi sistemi di pagamento quali quelli adoperanti carta, smartphone, bonifici”, commenta Michele Cortese, Security Analyst di Exprivia: “Prilex è uno dei tanti malware che ha colpito il settore finanziario già nel lontano 2016, ora si è evoluto e ha sfruttato l’innovazione tecnologica per diventare ancora più pericoloso”.
Evolvendo, però, “il PoS malware Prilex” è diventato “probabilmente tra le minacce più insidiose appartenenti alla famiglia dei malware disegnati per attaccare le transazioni mediante PoS”, conferma Pierluigi Paganini, analista di cyber security e CEO Cybhorus.
Ecco perché è importante proteggersi e come mettersi in sicurezza.
Indice degli argomenti
Il malware Prilex si diffonde in tre varianti
Prilex è una nota minaccia: non solo evoluta e complessa, ma soprattutto capace di mutare velocemente, generando un impatto pesante sulla catena di pagamento.
Agli esordi era un malware per gli sportelli bancomat (Automated Teller Machine – ATM). “I bancomat ATM venivano presi di mira soprattutto quelli più obsoleti mediante tecniche di Jackpotting“, ricorda Michele Cortese: “Tale tecnica permette, una volta manomesso il software dello sportello ATM, di erogare denaro come se fosse una slot machine; il criminale informatico assume il pieno controllo dell’ATM ed è in grado anche di clonare le carte di credito e debito inserite nei bancomat infetti.
Nel corso del 2022, è diventato un esclusivo malware modulare Point of Sales (PoS), fino a rappresentare la minaccia PoS più evoluta finora rilevata. “L’ultima versione è infatti capace di bloccare le transazioni contactless near-field communication (NFC) sui dispositivi infetti”, mette in guardia Paganini, “costringendo le vittime ad introdurre fisicamente le loro carte di credito/debito all’interno del pad dai cui il codice malevolo è in grado di esfiltrare i dati per la transazione”. Prilex ha condotto attacchi GHOST, per eseguire frodi con le carte di credito, anche su quelle protette con chip e Pin.
Il successo del contactless ha attirato il cyber crime
La popolarità dei sistemi di pagamento contactless, come le carte di credito e di debito, i portachiavi e smartphone è aumentata in pandemia. Il segmento retail domina il mercato con una quota superiore al 59% del fatturato globale contactless nel 2021.
Le carte di credito contactless hanno il vantaggio di consentire pagamenti comodi e sicuri senza dover toccare, inserire o strisciare fisicamente la carta. In genere gli smart device sono dotati di un sistema di identificazione a radiofrequenza (RFID). Samsung Pay, Apple Pay, Google Pay, Fitbit Pay e applicazioni bancarie mobile hanno adottato le tecnologie near-field communication (NFC) per supportare transazioni contactless sicure. Tuttavia Prilex può bloccare questo tipo di transazioni, implementando un file che può catturare le informazioni della carta di credito e un’opzione per bloccare le transazioni basate su NFC. Il cybercriminale costringe la vittima a inserire la sua carta fisica nel lettore di PIN pad. Il malware può catturare i dati provenienti dalla transazione, manipolando i crittogrammi per sferrare attacchi GHOST.
Prilex è anche in grado di filtrare le carte di credito sulla base del loro livello, generando regole differenti per ognuno. Per esempio, può bloccare l’NFC e catturare i dati solo delle carta di tipo Black/Infinite, Corporate o con un massimale alto, tralasciando le carte di credito standard con un saldo/limite basso.
I dettagli tecnici della minaccia
“Prilex si è evoluto da un malware focalizzato sugli sportelli ATM a un malware modulare per i sistemi di pagamento POS (Point of Sales) e la sua distribuzione è stata particolarmente attiva nel 2020”, avverte Michele Cortese: “Il malware in questione risulta ad oggi uno tra i più sofisticati nel settore dei pagamenti, adotta uno schema crittografico unico, esegue patch in tempo reale nel software di destinazione, forza il downgrade dei protocolli, manipola i crittogrammi ed è in grado di eseguire frodi su carte di credito protette con la tecnologia CHIP & PIN, lo standard tecnologico che sostituisce l’utilizzo tradizionale della banda magnetica e della firma per i pagamenti con moneta elettronica e che risulta apparentemente non violabile”.
Le 5 fasi dei pagamenti contactless
“Nel 2023 Prilex continua ad evolversi e a diventare sempre più temibile”, illustra Cortese: “Analizziamo le 5 fasi del funzionamento dei pagamenti contactless, diventati ormai sempre più popolari, per comprendere meglio la tecnica adottata dai criminali.
- Il titolare della carta deve tenere la carta vicino al terminale di pagamento abilitato al contactless (di solito a pochi centimetri).
- Il terminale invia un segnale a radiofrequenza (RF) alla carta, attivando il chip RFID incorporato nella carta.
- Il chip RFID della carta invia al terminale un numero di identificazione unico (ID) e informazioni sulla transazione. I dati della transazione non sono riutilizzabili e sono crittografati, anche se vengono intercettati dai criminali informatici, questi non possono rubare il denaro utilizzando tali dati. Né possono accedere al chip RFID per manomettere i processi di generazione dei dati.
- Il terminale invia le informazioni sulla transazione alla rete di elaborazione dell’emittente della carta per l’autorizzazione.
- Se la transazione viene approvata, il terminale invia un messaggio di conferma al titolare della carta e il pagamento viene elaborato.
Quindi i dati sulla transazione trasmessi dal chip RFID non sono utilizzabili dai criminali per sottrarre denaro al titolare della carta ma possono essere utilizzati per bloccare la transazione di pagamento sul terminale POS, obbligando il titolare ad inserire fisicamente la carta nel terminale. È proprio questa la tecnica adoperata dai cybercriminali, riuscire ad intercettare grazie al malware Prilex il numero di identificazione univoco legato alla transazione NFC per obbligare il titolare della carta ad utilizzare la tecnologia CHIP&PIN al posto di quella contactless”, spiega Cortese. “Le nuove versioni del malware aventi questa funzionalità sono al momento tre e sono le seguenti:
- 06.03.8080
- 06.03.8070
- 06.03.8072
Le regole di Prilex
“Nel codice sorgente del software malevolo sono state trovate delle regole molto semplici in grado di individuare sia la tipologia di pagamento che si sta effettuando, con NFC o con inserimento della carta fisica, che la tipologia di carta Black/Infinite, Corporate eccetera”, evidenzia Cortese.
“Di seguito è presente un estratto delle regole di Prilex che fanno riferimento al blocco NFC:
In un formato comprensibile le regole sono simili alla seguente:
- SE (modalità = “NFC” AND tipologia_di_carta = “Carta di credito”) ALLORA Visualizza_Errore
Nel caso in cui si decida di utilizzare la modalità NFC, sul display del POS comparirà il seguente messaggio di errore “Errore Contactless, inserire la carta” che obbligherà l’utente ad inserire fisicamente la carta all’interno del dispositivo per completare il pagamento. L’obiettivo finale dei criminali è quello di costringere la vittima a utilizzare la propria carta fisica inserendola nel lettore del PIN pad, in modo che il malware sia in grado di catturare i dati provenienti dalla transazione utilizzando tecniche sofisticate, come la manipolazione dei crittogrammi e l’esecuzione di un attacco GHOST”, sottolinea Cortese.
Transazioni GHOST
“Le ultime versioni di Prilex mostrano alcune differenze rispetto alle precedenti nel modo in cui avviene l’attacco: si è passati da attacchi di tipo “Replay attack” ad attacchi con transazioni fraudolente ‘GHOST’ utilizzando crittogrammi generati dalla carta della vittima durante il processo di pagamento”, continua Cortese. “In questi attacchi, il codice malevolo di Prilex viene installato nel sistema come eseguibile RAR SFX in grado di estrarre tutti i file richiesti nella directory del malware ed eseguire gli script di installazione. Dai file installati, si individuano tre componenti utilizzate da Prilex: un modulo stealer, una backdoor e un modulo uploader.
Il modulo stealer è responsabile dell’intercettazione di tutte le comunicazioni tra il software del POS e il PIN pad utilizzato per la lettura della carta durante la transazione. Una volta identificata una transazione in corso, il malware intercetterà e modificherà il contenuto della transazione per poter acquisire le informazioni sulla carta.
Tutte le informazioni acquisite vengono salvate in un file crittografato collocato in una directory precedentemente impostata dalla configurazione del malware. Tale file verrà successivamente inviato, grazie alla backdoor e al modulo uploader, al server Command and Control (C2), consentendo ai criminali informatici di effettuare transazioni tramite un dispositivo POS fraudolento registrato a nome di una società fittizia, da qui il nome di transazioni GHOST ovvero transazioni fantasma che non vengono tracciate in alcun modo sui circuiti di pagamento. Ciò consentirebbe ai criminali di erogare denaro dalla carta pari al massimale giornaliero previsto per essa e di poterla allo stesso tempo clonare all’insaputa della vittima”, evidenzia Cortese.
Come proteggersi da Prilex
“Prilex è la dimostrazione dell’efficienza dei gruppi criminali”, conclude Paganini, “in grado con trucchi ed artifici, di eludere anche sistemi sicuri come quelli alla base delle transazioni contactless. Nel caso specifico è stato sufficiente interdire i pagamenti NFC e costringere le vittime alla consueta procedura mediante introduzione fisica della carta nel lettore”.
Occorre dunque aggiornare i sistemi operativi, installare le patch e non lasciare vulnerabilità senza patch. Inoltre è necessario usare una soluzione multi-livello con strati protettivi per offrire il miglior livello di sicurezza possibile per dispositivi di diversa potenza e scenari di adozione. I PoS che adottano antivirus sono più sicuri. Infatti evitano che il codice malevolo possa violare le transazioni gestite dai moduli. Conviene installare una soluzione di sicurezza per difendere i dispositivi da sempre più sofisticati vettori di attacco. Infine, uno strumento di analisi del malware, capace di indagare sull’origine delle minacce, aiuta a proteggersi.
“Per proteggersi da Prilex, oltre ad implementare tecniche di protezione nei moduli POS e ad aggiornare periodicamente anche i sistemi ormai obsoleti”, sottolinea Michele Cortese, “è necessario avere delle policy aziendali stringenti su chi debba avere l’autorizzazione ad accedere sui sistemi interni dell’azienda. Prilex difficilmente viene distribuito mediante campagne di phishing/spam e non va sottovalutato il rischio che un utente da remoto possa fingersi per un tecnico altamente specializzato con l’obiettivo di installare il codice malevole direttamente sui dispositivi aziendali”.
Indicatori di compromissione
Di seguito, Cortese ha stilato “una raccolta di Indicatori di Compromissione (IoC) utili al fine di individuare il malware in questione:
- b3af54f8ea2e08f9ef4069fa4f87f22960cbb84519a1a86487acb82214f0995a
- 420f7c58d4d59e35a44397522878a8d30ac36627c91528b123622950fb6a34ae
- 605481bd2e37f0212637653273d866a3c47ee72cfde7207d915ffe6e5093b28e
- 5cc18fa2204e0bee1f70b53af1fabe03ecce2b2b5e8baecb6fcfc76d2e8395c7
- b6eb726c5418977e35fd7da96bc38da20cbc60111c88963ee7aec794d6bebb87
- 7405d88639e4599a3796dc438f50c0390654216340d235edc76442e550a58700
- 12fce28ba44652f4fbfe505b30e37c8383adbb9520a0134f09930370c16ea594
- fa1b4c8fd2df1252da3eb7e1aa25c86830399962600566713047a9f70e043f5b
- 669bc5b9995b1cd76e5fb59925158c25c8da7ab9b6a5650088757ad5d730b223
- d10a0e0621a164fad0d7f3690b5d63ecb9561e5ad30a66f353a98395b774384e”
