La minaccia Prilex si evolve e viene distribuita come Malware-as-a-Service

La minaccia Prilex si evolve e viene distribuita come Malware-as-a-Service

Il malware Prilex è uno dei più famosi trojan bancari e nelle ultime incarnazioni colpisce soprattutto i terminali POS. Viene ora venduto sul dark web e su Telegram, ma secondo i ricercatori di Kaspersky potrebbero non esserci gli autori dietro a questo "mercato"

di pubblicata il , alle 12:31 nel canale Security
Kaspersky
 

Prilex è un malware che prende di mira i POS e che è stato usato per trafugare milioni di euro. i ricercatori di Kaspersky hanno scoperto che gli autori hanno potenziato il loro strumento e modificato il metodo di distribuzione puntando sul modello as-a-Service, anche se ancora non è certo che dietro alla vendita del malware ci sia chi lo ha sviluppato. Il costo? Fra i 3.500 e i 13.000 dollari. 

Come funziona il malware Prilex

Quando è stato rilevato nel 2014, il malware Prilex agiva come semplice memory scraper e non era particolarmente sofisticato. Ciononostante, è stato usato in uno dei più grandi attacchi ai sistemi ATM (i bancomat, per intenderci) per clonare circa 28.000 carte di credito. Queste sono state poi usate in occasione del Carnevale del 2016 in Brasile per svuotare un migliaio di ATM, con danni stimati in milioni di dollari.

Incoraggiati dal risultato, gli autori hanno evoluto Prilex, che ora prende di mira prevalentemente i POS in dotazione agli esercenti con attacchi di tipo GHOST, delle transazioni fraudolente che utilizzano crittogrammi precedentemente generati dalla carta della vittima durante il processo di pagamento al negozio.

Per installare il malware sui sistemi, i criminali informatici sfruttano tecniche di ingegneria sociale, contattando i negozianti e spacciandosi per i tecnici della società che fornisce il POS, spiegando loro che è necessario aggiornare il software del dispositivo. A questo punto si presenta nel negozio un finto tecnico che installa Prilex sul POS. In altri casi, invece, i truffatori sono riusciti a installarlo da remoto convincendo le vittime a installare il software di controllo remoto AnyDesk e a fornire loro le credenziali di accesso al sistema. 

Il passo successivo è quello di valutare se si tratta di un bersaglio interessante o meno. Nel primo caso, il malware verrà attivato e intercetterà tutte le informazioni delle carte di credito usate su quel terminale. Il file con questi dati verrà poi cifrato e inviato a un server controllato dai criminali, che utilizzeranno queste informazioni per effettuare operazioni fraudolente usando un POS intestato a una finta società. 

 

prilex

Come facilmente intuibile, nel caso i criminali riescano a violare i POS di un negozio molto frequentato, possono ottenere centinaia se non di migliaia di carte al giorno. 

Secondo gli esperti di Kaspersky, Prilex viene distribuito in modalità Malware-as-a-Service su canali Telegram e siti sul dark web a cifre comprese fra i 3.500 e i 13.000 dollari. Ma ci tengono a sottolineare che non siano certi che siano gli autori del malware a gestire queste vendite e non è escluso che si tratti di truffe per estorcere denaro sfruttando la fama di questa minaccia informatica. 

Spesso nei film vediamo i rapinatori irrompere in una banca con una pistola in mano, svuotano la cassa e fuggono via, portando con sé un enorme sacco di soldi", spiega Fabio Assolini, responsabile del Latin American Global Research and Analysis Team (GReAT) di Kaspersky. "Nella realtà, le rapine in banca avvengono in maniera diversa. Al giorno d’oggi, i veri criminali agiscono nell’ombra: solitamente attaccano da remoto, usando un malware e senza avere nessun tipo di contatto fisico con la banca. Questo fa sì che sia più complesso rilevarli e, finché gli ATM e i PoS non saranno sufficientemente protetti e aggiornati, il numero di minacce e incidenti è destinato ad aumentare”.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^