Lo hanno chiamato “PoSeidon” e non ha nulla a che fare con la divinità delle profondità marine, perché il nome del dio degli oceani in questo caso ha assorbito la sigla degli strumenti per i pagamenti elettronici PoS. I ricercatori del team di Cisco hanno battezzato così l’ultimo malware realizzato appositamente per colpire i “Point of Sale” degli esercizi commerciali.

La tecnica utilizzata dal software, nota come “memory scraping”, analizza la RAM dei terminali infetti attraverso la lettura delle stringhe conservate in chiaro e contenenti i dati delle carte di pagamento appena “strisciate”. Il “tridente”, che la minaccia informatica adopera per scardinare le barriere difensive delle macchinette e portar via informazioni utili, è composto da un keylogger, un programma (loader) che carica il virus offensivo e un “lettore di memoria” (memory scraper).

Il primo step comporta il furto delle credenziali di accesso per entrare da remoto all’interno del sistema PoS. La procedura fraudolenta, infatti, finge di cancellare dal registro di sistema le password criptate e i profili degli utenti e obbliga questi ultimi a digitare nuovamente i codici per poi catturarli.

Una volta inseritisi nell’apparecchio, gli aggressori caricano in modo permanente il file loader (che funge da contatto tra il PoS e un server esterno) e il memory scraper (atto a monitorare la RAM). Questo secondo programma è progettato per leggere le sole sequenze di numeri di 16 cifre che iniziano per 6, 5, 4, e quelle di 15 cifre che cominciano con 3, identificando e distinguendo così le varie carte di credito Visa, Mastercard, Discover e American Express.

Dopo aver verificato che le “stringhe” acquisite siano codici di carte di credito, il software comunica direttamente con un server impostato per l’archiviazione illecita dei dati. Proprio questa fase rende PoSeidon uno dei malware più avanzati ed aggressivi che ci siano in circolazione. Invece di mettere in pratica una “exfiltration” a più step (in cui i dati delle carte vengono immagazzinati su un server temporaneo di gestione all’interno dell’impresa vittima), ogni singolo pezzo del virus presente su PoS differenti va ad alimentare in modo indipendente un apposito database.

La lunga lista di codici alfanumerici viene poi rivenduta sul mercato “underground” in tutto il mondo ed impiegata per clonare carte di pagamento o creare false identità digitali. Il controllo da remoto da parte dei malintenzionati, poi, consente a questi di operare al di fuori dei confini del Paese in cui attaccano, rendendo quindi più difficile o impossibile un loro riconoscimento.
La breccia che permette l’attacco è prevalentemente costituita dalla negligenza dei gestori di negozi e punti vendita nell’implementare le misure minime di sicurezza. Il 90% dei lettori di schede hanno password di default e codici di autenticazione che richiamano le marche o i modelli degli stessi apparati. Lo scenario degli attacchi ai sistemi PoS continua ad essere altamente redditizio e poco rischioso, e quindi non sorprende l’insistenza con cui i delinquenti continuano ad impegnarsi nello sviluppo di nuove specifiche famiglie di malware.

di Valentina Lavore
analista di organizzazione @ HKAO

Sostieni ilfattoquotidiano.it: mai come in questo momento abbiamo bisogno di te.

In queste settimane di pandemia noi giornalisti, se facciamo con coscienza il nostro lavoro, svolgiamo un servizio pubblico. Anche per questo ogni giorno qui a ilfattoquotidiano.it siamo orgogliosi di offrire gratuitamente a tutti i cittadini centinaia di nuovi contenuti: notizie, approfondimenti esclusivi, interviste agli esperti, inchieste, video e tanto altro. Tutto questo lavoro però ha un grande costo economico. La pubblicità, in un periodo in cui l'economia è ferma, offre dei ricavi limitati. Non in linea con il boom di accessi. Per questo chiedo a chi legge queste righe di sostenerci. Di darci un contributo minimo, pari al prezzo di un cappuccino alla settimana, fondamentale per il nostro lavoro.
Diventate utenti sostenitori cliccando qui.
Grazie Peter Gomez

ilFattoquotidiano.it
Sostieni adesso Pagamenti disponibili
Articolo Precedente

Periscope, su Twitter la nuova app di live streaming

next
Articolo Successivo

Agenzia per il Digitale, all’addio di Poggiani seguirà una primavera del merito?

next