da: Il Fatto Quotidiano
Poseidon,
ecco l’ultimo malware per rubare i codici delle carte di credito
La
tecnica utilizzata dal software, nota come “memory scraping”, analizza la RAM
dei terminali infetti attraverso la lettura delle stringhe conservate in chiaro
e contenenti i dati delle carte di pagamento appena “strisciate”.
di Valentina
Lavore
Lo hanno chiamato “PoSeidon” e non ha nulla
a che fare con la divinità delle profondità marine, perché il nome del dio
degli oceani in questo caso ha assorbito la sigla degli strumenti per i
pagamenti elettronici PoS. I ricercatori del team di Cisco hanno battezzato
così l’ultimo malware realizzato appositamente per colpire i “Point of Sale”
degli esercizi commerciali.
La tecnica utilizzata dal software, nota
come “memory scraping”, analizza la RAM dei terminali infetti attraverso la
lettura delle stringhe conservate in chiaro e contenenti i dati delle carte di
pagamento appena “strisciate”. Il “tridente”, che la minaccia informatica
adopera per scardinare le barriere difensive delle macchinette e portar via
informazioni utili, è composto da un keylogger, un programma (loader) che
carica il virus offensivo e un “lettore di memoria” (memory scraper).
Il primo step comporta il furto delle
credenziali di accesso per entrare da remoto all’interno del sistema PoS. La
procedura fraudolenta, infatti, finge di cancellare dal registro di sistema le
password criptate e i profili degli utenti e obbliga questi ultimi a digitare
nuovamente i codici per poi catturarli.
Una volta inseritisi nell’apparecchio, gli
aggressori caricano in modo permanente il file loader (che funge da contatto
tra il PoS e un server esterno) e il memory scraper (atto a monitorare la RAM).
Questo secondo programma è progettato per leggere le sole sequenze di numeri di
16 cifre che iniziano per 6, 5, 4, e quelle di 15 cifre che cominciano con 3,
identificando e distinguendo così le varie carte di credito Visa, Mastercard,
Discover e American Express.
Dopo aver verificato che le “stringhe”
acquisite siano codici di carte di credito, il software comunica direttamente
con un server impostato per l’archiviazione illecita dei dati. Proprio questa
fase rende PoSeidon uno dei malware più avanzati ed aggressivi che ci siano in
circolazione. Invece di mettere in pratica una “exfiltration” a più step (in
cui i dati delle carte vengono immagazzinati su un server temporaneo di
gestione all’interno dell’impresa vittima), ogni singolo pezzo del virus
presente su PoS differenti va ad alimentare in modo indipendente un apposito
database.
La lunga lista di codici alfanumerici viene
poi rivenduta sul mercato “underground” in tutto il mondo ed impiegata per
clonare carte di pagamento o creare false identità digitali. Il controllo
da remoto da parte dei malintenzionati, poi, consente a questi di operare al di
fuori dei confini del Paese in cui attaccano, rendendo quindi più difficile o
impossibile un loro riconoscimento.
La breccia che permette l’attacco è
prevalentemente costituita dalla negligenza dei gestori di negozi e punti
vendita nell’implementare le misure minime di sicurezza. Il 90% dei lettori di
schede hanno password di default e codici di autenticazione che richiamano le
marche o i modelli degli stessi apparati. Lo scenario degli attacchi ai
sistemi PoS continua ad essere altamente redditizio e poco rischioso, e quindi
non sorprende l’insistenza con cui i delinquenti continuano ad impegnarsi nello
sviluppo di nuove specifiche famiglie di malware.
Nessun commento:
Posta un commento