Il software utilizza la tecnica nota come “memory scraping”, analizza la RAM dei PoS infetti leggendo le stringhe conservate in chiaro contenenti i dati delle carte di pagamento appena “strisciate”
Scoperto dal Team di ricercatori della Cisco, è stato chiamato PoSeidon l’ultimo malware realizzato appositamente per colpire i “Point of Sale” degli esercizi commerciali.
Il software utilizza la tecnica nota come “memory scraping”, analizza la RAM dei terminali infetti attraverso la lettura delle stringhe conservate in chiaro e contenenti i dati delle carte di pagamento appena “strisciate”. Il “tridente”, che il malware usa per annientare le barriere difensive delle macchinette e carpire informazioni utili, è composto da un keylogger, un programma (loader) che carica il virus offensivo e un “lettore di memoria” (memory scraper).
La prima fase comporta il furto delle credenziali di accesso per entrare da remoto all’interno del sistema PoS. La procedura fraudolenta, infatti, finge di cancellare dal registro di sistema le password criptate e i profili utente e obbliga quindi a digitare nuovamente i codici per poi catturarli.
Appena re-inseriti nell’apparecchiatura, gli aggressori caricano in modo permanente il file loader (che funge da contatto tra il PoS e un server remoto) e il memory scraper (atto a monitorare la RAM). Questo secondo programma è progettato per leggere le sole sequenze di numeri di 16 cifre che iniziano per 6, 5, 4, e quelle di 15 cifre che cominciano con 3, identificando e distinguendo così le varie carte di credito Visa, Mastercard, Discover e American Express.
Dopo la verifica che le “stringhe” acquisite siano effettivamente codici di carte di credito, il software comunica direttamente con il server impostato per l’archiviazione illecita dei dati. Questa azione rende PoSeidon uno dei malware più avanzati ed aggressivi in circolazione. Piuttosto che mettere in pratica una “exfiltration” a più step (in cui i dati delle carte vengono immagazzinati su un server temporaneo di gestione all’interno dell’impresa vittima), ogni singolo pezzo del virus presente su PoS differenti va ad alimentare in modo indipendente un apposito database.
Il Database di codici alfanumerici viene poi rivenduto sul mercato “underground” in tutto il mondo, e i codici impiegati per clonare carte di pagamento e creare false identità digitali. Inoltre il controllo remoto consente ai malintenzionati di operare al di fuori dei confini del Paese attaccato, rendendo quindi più difficile o impossibile un loro riconoscimento. A permettere l’attacco è prevalentemente la negligenza dei gestori di negozi e punti vendita, che trascurano sistematicamente le misure minime di sicurezza. Infatti il 90% dei lettori di schede hanno password di default e codici di autenticazione che richiamano le marche o i modelli degli stessi apparati, che dovrebbero essere cambiati sia nel momento dell’installazione, che periodicamente. La pratica degli attacchi ai sistemi PoS continua ad essere altamente redditizia e poco rischiosa, non sorprende dunque l’insistenza con cui gli hacker fuorilegge si impegnino nel perfezionamento della tecnologia malware.
