I ricercatori Kaspersky hanno rilevato un’evoluzione del malware Prilex: dopo aver rubato milioni di dollari alle banche, il noto threat actor ora prende di mira i POS (Point of sale, i dispositivi che permettono di accettare pagamenti con carta di credito, debito e prepagata attraverso la lettura di un chip), vendendo nuovi malware POS, avanzati e complessi, per rubare dati bancari delle vittime.
“La storia ci insegna che difficilmente i malware hanno vita breve e anche a distanza di anni dal primo avvistamento, vengono diffusi con upgrade di funzionalità e di nuove vulnerabilità zero-day”, spiegano Antonio Pontrelli (CyberSecurity Project Manager di Exprivia) e Rosita Galiandro (Responsabile Osservatorio Cybersecurity di Exprivia).
“Per riuscire a penetrare all’interno di un sistema informatico e installare un software malevolo”, commenta Fabrizio Croce, Vice President Sales South Europe, WatchGuard Technologies, “esistono diverse strade ma tutte convergono in un punto: sfruttare l’ingegneria sociale”. Ecco come proteggersi.
Indice degli argomenti
I POS nel mirino del malware Prilex
Prilex si è evoluto, aggiornando i suoi tool contro i terminali modulari Point of Sales e passando da memory scraper a malware evoluto e sofisticato. Infatti, “il malware Prilex, nato come malware incentrato sugli ATM (Automated Teller Machines) nel 2014 e nel 2016 è passato ai dispositivi PoS (Point of Sale). Mentre la distribuzione è stata molto attiva nel 2020, il malware è scomparso dai radar dei sistemi di sicurezza nel 2021”, sottolineano Pontrelli e Galiandro. I criminali informatici stanno inoltre vendendo attivamente il loro malware sul darknet come Malware-as-a-Service, mettendo a disposizione di altri truffatori e alzando il livello di rischio di perdite economiche per le aziende di tutto il mondo.
Adesso la minaccia non solo è avanzata e complessa, ma soprattutto muta rapidamente ed è in grado di incidere pesantemente sulla catena di pagamento.
Il vettore di attacco agisce in maniera sfuggente e sferra attacchi soltanto da remoto, senza contatto fra vittime e gruppo cyber criminale.
Ciò rende complessa la possibilità di identificarli. Prima di attaccare le vittime, il gruppo di cyber crime svolge uno screening iniziale del dispositivo per monitorare il numero di transazioni già avvenute e se il gioco vale la candela.
Se la vittima “merita la fatica”, il malware la colpirà, captando ogni transazione in corso e modificandone il contenuto per poter rubare le informazioni della carta di credito.
“L’anello debole di qualsiasi catena di sicurezza è il fattore umano”, continua Fabrizio Croce: “In questo caso, addirittura, serve qualcuno che spacciandosi per tecnico convinca il negoziante che il POS va aggiornato, deve quindi fisicamente metterci le mani per installare il malware”.
In vendita su Telegram
Kaspersky ha scoperto che Prilex monitora anche il ciclo di vita dello sviluppo del malware sfruttando Subversion, tool popolare fra i team di sviluppo professionali.
Inoltre, è emerso che in siti web e canali Telegram i cyber criminali vendono il malware Prilex. Spacciandosi per il gruppo Prilex stesso, offrono le ultime versioni del malware PoS, con prezzi che soazianso da 3.500 a 13.000 dollari.
Come evade la sicurezza delle transazioni delle carte di credito
“Nel 2022 sono state diffuse tre nuove versioni (EMV Software, POS ATM Software e DDos Service), facendo presagire che il malware è pronto a tornato in azione”, continuano Pontrelli e Galiandro.
“La versione iniziale di Prilex era in grado di eseguire attacchi di tipo “replay attack”, sfruttando alcuni errori di implementazione dello standard EMV. A seguito della correzione degli errori implementativi, gli attacchi di tipo “replay attack” sono diventati obsoleti e inefficaci, spingendo gli autori di Prilex ad innovare e ad adottare altri metodi di frode con carta di credito. Lo standard EMV (Europay, MasterCard e Visa), introdotto nel 2019, utilizzato per bloccare le frodi e per tutelare i pagamenti tramite terminali POS, smart card e sportelli ATM per l’autenticazione di transazioni con carte di credito e di debito”, mettono in guardia i due analisti Exprivia.
“Una transazione EMV prevede tre fasi”, spiegano ancora gli esperti: “autenticazione della carta, verifica del titolare della carta e autorizzazione alla transazione. Le elaborazioni dei pagamenti EMV possono avvenire sia online (eseguite da computer situati in altre aree della rete dei pagamenti) e sia offline (eseguite tra il POS e il chip della carta). Per capire come il malware abbia compromesso una transazione EMV, è interessante conoscere il processo di autorizzazione di una transazione:
- viene generato un ARQC dinamico (crittogramma per la richiesta di autorizzazione);
- l’ARQC viene inviato tramite l’acquirente al marchio di pagamento; il marchio di pagamento invia quindi l’ARQC all’emittente;
- l’emittente dà l’autorizzazione a convalidare la richiesta e risponde con un ARPC (Authorization Response Cryptogram), che attraverso gli stessi canali torna al dispositivo POS;
- se la richiesta del chip viene convalidata, il terminale POS richiederà la verifica al titolare della carta sotto forma di firma o di inserimento di un PIN, o in alcuni casi non richiederà alcuna verifica”.
Attacchi Ghost
“La nuova versione di Prilex mostrano alcune differenze rispetto alle precedenti nel modo in cui si verifica l’attacco: il gruppo è passato dagli attacchi di tipo ‘replay attack’ ad attacchi di tipo ‘GHOST’. Prilex aggiunge una persistenza sul suo target, installando una backdoor per la comunicazione, uno stealer (Trojan che raccoglie informazioni da un sistema) per intercettare tutti gli scambi di dati e un modulo uploader per l’esfiltrazione”, sottolineano Pontrelli e Galiandro.
La backdoor
“La backdoor supporta varie funzionalità”, illustrano Pontrelli e Galiandro, “come azioni sui file, esecuzione di comandi, kill del processo, modifica del registro e cattura dello schermo”.
Il modulo stealer
“Il modulo stealer ha il compito di intercettare tutte le comunicazioni tra il software PoS e la PIN pad utilizzata per leggere la carta durante la transazione. Una volta identificata una transazione in corso, il malware intercetterà e modificherà il contenuto della transazione per poter acquisire le informazioni sulla carta e richiedere nuovi crittogrammi EMV sulla carta della vittima. Questi crittogrammi vengono quindi utilizzati nelle transazioni GHOST”, mettono in evidenza gli esperti di Exprivia.
Installare un hook a molte API di Windows
“Poiché la comunicazione tra il software PoS e il lettore di schede avviene tramite la porta COM”, scendono nei dettagli Pontrelli e Galiandro, “il malware installerà un hook a molte API di Windows all’interno del processo mirato, con l’obiettivo di monitorare e modificare i dati secondo necessità. Un hook è un punto nel meccanismo di gestione dei messaggi di sistema in cui un’applicazione può installare una subroutine per monitorare il traffico dei messaggi nel sistema ed elaborare determinati tipi di messaggi prima di raggiungere la procedura della finestra di destinazione”. “Le informazioni acquisite vengono salvate in forma crittografata localmente sul computer compromesso e periodicamente caricate sul server di comando e controllo (C2) del malware tramite richieste HTTP POST, consentendo ai criminali di effettuare transazioni tramite un dispositivo PoS fraudolento, registrato a nome di una falsa azienda”.
Come esegue una transazione fraudolenta
“La versione precedente del malware, monitorava la transazione al fine di ottenere il crittogramma EMV, generato dalla carta per la transazione originale, e quindi eseguire un attacco di tipo ‘replay attacck’ utilizzando il crittogramma raccolto. Negli attacchi di tipo “GHOST” eseguiti dalle versioni più recenti di Prilex, richiede nuovi crittogrammi EMV dopo aver catturato la transazione. Questi crittogrammi verranno quindi utilizzati successivamente, per eseguire una transazione fraudolenta”, continuano Pontrelli e Galiandro.
“Il seguente script visualizza i dati raccolti dal malware Prilex. Com’è evidente, contiene Authorization Request Cryptogram (ARQC) che è stato generato dalla carta e sarà approvato dall’emittente della carta di credito”.
“Alla carta vengono applicati vari crittogrammi applicativi, dove l’importo della transazione (in verde), ATC (blu) e il crittogramma generato (arancione) cambiano per ogni transazione”.
“Nel 2019 i cyber criminali hanno registrato un dominio “prilex[.]io” , con annesso sito Web che affermava di essere la pagina ufficiale del gruppo Prilex, vendendo soluzioni di tipo malware-as-a-service. Attualmente non vi è nessuna conferma sull’attendibilità di questo sito: potrebbe essere gestito da imitatori che cercano di impersonare il gruppo e prendere dei soldi usando la reputazione che Prilex si è guadagnata negli anni”, spiegano Pontrelli e Galiandro.
Come proteggersi
I negozianti non devono cadere vittime del social engineering e aprire le porte dei Pos ai cyber criminali.
Infatti, “Prilex non è un tipo di malware che viene distribuito tramite campagne di spam via e-mail. È altamente mirato e di solito viene fornito tramite l’ingegneria sociale, ad esempio, un’azienda target può ricevere una chiamata da un ‘tecnico’ che insiste sul fatto che l’azienda deve aggiornare il proprio software PoS. Il falso tecnico può visitare l’obiettivo di persona o richiedere alle vittime di installare AnyDesk e fornire l’accesso remoto al ‘tecnico’ per installare il malware”, concludono Pontrelli e Galiandro di Exprivia.
Inoltre “qualsiasi azienda deve sempre e comunque non solo proteggere dal punto di vista ‘logico’ i suoi terminali, con antivirus, endpoint EPDR, sistemi firewall allo stato dell’arte per la sicurezza perimetrale, ma anche avere delle stringenti politiche “zero trust” su chi abbia l’autorizzazione ad usare i sistemi e in che modalità, sia che sia un dipendente dell’azienda che un utente remoto”, consiglia Fabrizio Croce di WatchGuard Technologies.
