Lo hanno chiamato “PoSeidon” e non ha nulla a che fare con la divinità delle profondità marine, perché il nome del dio degli oceani in questo caso ha assorbito la sigla degli strumenti per i pagamenti elettronici PoS. I ricercatori del team di Cisco hanno battezzato così l’ultimo malware realizzato appositamente per colpire i “Point of Sale” degli esercizi commerciali.
La tecnica utilizzata dal software, nota come “memory scraping”, analizza la RAM dei terminali infetti attraverso la lettura delle stringhe conservate in chiaro e contenenti i dati delle carte di pagamento appena “strisciate”. Il “tridente”, che la minaccia informatica adopera per scardinare le barriere difensive delle macchinette e portar via informazioni utili, è composto da un keylogger, un programma (loader) che carica il virus offensivo e un “lettore di memoria” (memory scraper).
Il primo step comporta il furto delle credenziali di accesso per entrare da remoto all’interno del sistema PoS. La procedura fraudolenta, infatti, finge di cancellare dal registro di sistema le password criptate e i profili degli utenti e obbliga questi ultimi a digitare nuovamente i codici per poi catturarli.
Una volta inseritisi nell’apparecchio, gli aggressori caricano in modo permanente il file loader (che funge da contatto tra il PoS e un server esterno) e il memory scraper (atto a monitorare la RAM). Questo secondo programma è progettato per leggere le sole sequenze di numeri di 16 cifre che iniziano per 6, 5, 4, e quelle di 15 cifre che cominciano con 3, identificando e distinguendo così le varie carte di credito Visa, Mastercard, Discover e American Express.
Dopo aver verificato che le “stringhe” acquisite siano codici di carte di credito, il software comunica direttamente con un server impostato per l’archiviazione illecita dei dati. Proprio questa fase rende PoSeidon uno dei malware più avanzati ed aggressivi che ci siano in circolazione. Invece di mettere in pratica una “exfiltration” a più step (in cui i dati delle carte vengono immagazzinati su un server temporaneo di gestione all’interno dell’impresa vittima), ogni singolo pezzo del virus presente su PoS differenti va ad alimentare in modo indipendente un apposito database.
La lunga lista di codici alfanumerici viene poi rivenduta sul mercato “underground” in tutto il mondo ed impiegata per clonare carte di pagamento o creare false identità digitali. Il controllo da remoto da parte dei malintenzionati, poi, consente a questi di operare al di fuori dei confini del Paese in cui attaccano, rendendo quindi più difficile o impossibile un loro riconoscimento.
La breccia che permette l’attacco è prevalentemente costituita dalla negligenza dei gestori di negozi e punti vendita nell’implementare le misure minime di sicurezza. Il 90% dei lettori di schede hanno password di default e codici di autenticazione che richiamano le marche o i modelli degli stessi apparati. Lo scenario degli attacchi ai sistemi PoS continua ad essere altamente redditizio e poco rischioso, e quindi non sorprende l’insistenza con cui i delinquenti continuano ad impegnarsi nello sviluppo di nuove specifiche famiglie di malware.
di Valentina Lavore
analista di organizzazione @ HKAO