L'ANALISI TECNICA

Alina POS, il malware che usa il protocollo DNS per “contrabbandare” carte di credito

È stata scoperta una variante del malware Alina che, una volta installata sui terminali POS dei punti vendita o sui PC con software POS dedicato, consente ai criminal hacker di esfiltrare dati delle carte di credito. Ecco come funziona e i consigli per difendersi

03 Lug 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


Durante il loro lavoro di analisi, i ricercatori di Black Lotus Labs hanno rilevato da inizio anno un traffico DNS anomalo ovvero delle query insolite verso determinati domini nameserver (che fanno riferimento a un noto brand di servizi web che nulla ha a che fare con queste attività) che, invece di svolgere le canoniche risoluzioni DNS, si sono rivelati essere dei server di comando e controllo C2 che decodificavano informazioni relative a carte di credito esfiltrate da una nuova variante del malware POS (Point Of Sale) Alina e che si celavano in stringhe di nomi di sottodomini.

Volume delle query che Black Lotus Labs ha osservato per ciascuno dei domini C2 dal mese di gennaio 2020.

Il malware Alina, già noto dal 2012 e specializzato nell’attaccare sia dispositivi POS terminali che computer con software POS dedicato, nel tempo è stato progressivamente aggiornato dai suoi creatori, adottando nuove tecniche e procedure per sfuggire il rilevamento e arginare i controlli, passando da versioni che utilizzavano il protocollo HTTPS e il servizio DNS per esfiltrare i dati a quelle più recenti che, come quest’ultima variante, sfruttano il servizio DNS esclusivamente come canale di comunicazione.

Malware Alina: il meccanismo di esfiltrazione dati

Durante le transazioni con carta di credito, i dati vengono in genere decrittografati e temporaneamente tenuti in memoria dal software POS in forma non crittografata.

È proprio in questo intervallo temporale che il malware Alina preleva dalla RAM del dispositivo infetto (terminale/PC) le informazioni sulla carta di credito non crittografate e, solo dopo averne verificato la correttezza (usando l’algoritmo di checksum Luhn) le trasmette al server C2, instaurando con esso un tunneling DNS.

I dati così carpiti, prima di essere inviati alla centrale di comando remota e presidiata (che funge da nameserver autorevole), vengono codificati in stringhe alfanumeriche (come sottodomini di queste query anomale) secondo una determinata struttura:

I ricercatori hanno constatato che i record DNS inviati verso i domini C2 sono tutti di tipo A e che pertanto prevedono come risposta (secondo lo standard RFC 1035) un indirizzo IPV4 a 32 bit. Nella maggior parte dei casi tali risposte DNS si sono rivelate essere dei semplici indirizzi proforma del tipo localhost (127.0.0.1).

Malware Alina: il meccanismo di codifica

Gli analisti di Black Lotus Labs hanno spiegato il meccanismo di codifica delle stringhe, apparentemente casuali, che identificano i sottodomini delle query e celano l’informazione esfiltrata.

yeTLxcbvkOjr6eH_-pCYkPrDxM0 .akamai-tecnologie [.] com

Dopo, aver epurato la stringa del sottodominio (yeTLxcbvkOjr6eH_-pCYkPrDxM0) dai caratteri non consentiti dalle specifiche DNS (sostituendo il carattere “-” con “/” e “_” con “+”) per poterla decifrare in chiaro, dimostrano i ricercatori, occorre una doppia decodifica base64/XOR.

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Le stringhe così estrapolate da ciascuna query campione hanno mostrato due tipologie specifiche di record:

  • un tipo di record per il check-in con il server C2: cNaolE: BACKTT: 2: Ping;
  • un tipo di record contenere informazioni sulle carte di credito:

YaKNsY: BACKOFFICEz2::ddcdsrv1.exe::<Cifre carta di credito rimosse>= GGMMAAA <Sette cifre sconosciute>;

secondo una ben precisa nomenclatura:

  • il carattere “:” viene utilizzato come delimitatore dei dati decodificati;
  • i primi sei caratteri delle query decodificate rappresentano un valore ID univoco (cNaolE, YaKNsY);
  • segue un campo descrittore/posizione (BACKTT, BACKOFFICEz2) che molto probabilmente indica il nome di sistema dei terminali compromessi;
  • i campi successivi:
  1. se presentano il nome di un eseguibile .exe (ne sono stati rilevati diversi!) potrebbero indicare il processo che il malware Alina ha identificato come contenente le informazioni della carta di credito rubate in memoria. Il formato del campo finale indica il numero della carta di credito seguito dalla data di scadenza e da una sequenza di cifre che non sono state chiaramente identificate (<Cifre carta di credito rimosse> = GGMMAAA <Sette cifre sconosciute>);
  2. se presentano un numero identificativo potrebbero indicare delle istruzioni per determinate azioni (nella fattispecie l’istruzione “Ping”, per esempio, come accennato prima, potrebbe riferirsi ad una azione di preconfigurazione).

Conclusioni

Come evidenziato dagli stessi ricercatori, gli attacchi basati su DNS (servizio spesso poco monitorato e controllato) continuano ad essere perpetrati e ad intensificarsi sempre di più a supporto di una vasta gamma di attività criminali.

Pertanto, lo sfruttamento del tunneling DNS si sta rivelando una scelta frequente utilizzata dagli sviluppatori di malware per evadere i controlli di sicurezza e carpire dati da rivendere dopo nei marketplace underground.

In questo scenario, il malware POS Alina ne rappresenta un esempio tangibile a dimostrazione anche di come i criminal hacker siano sempre alla ricerca di nuove strategie di attacco, apportando migliorie ai loro prodotti malevoli.

Detto questo, risulta oramai imperativo che tutte le aziende fornitrici di sistemi POS, prevedano per i loro software delle misure di protezione adeguate anche contro queste tipologie di minacce, prevedendo il monitoraggio non solo del traffico HTTP/HTTPS ma anche di quello DNS in uscita da questi dispositivi, alla ricerca e l’eventuale blocco di tutte quelle richieste sospette, consentendo così anche agli esercenti di poter operare nei propri punti vendita in totale sicurezza per se e per la propria clientela.

I ricercatori di Black Lotus Labs, in modo responsabile, prima della pubblicazione del presente studio hanno contattato sia i propri clienti che i registrar dei domini illeciti coinvolti, mettendo a disposizione tutta l’assistenza necessaria.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5