I ricercatori Kaspersky hanno scoperto che Prilex, malware che prende di mira banche, bancomat e PoS, noto per aver rubato milioni di dollari alle banche, si è evoluto in modo significativo: ha notevolmente rafforzato la sua struttura ed è diventato un pericoloso threat actor in grado di clonare carte di credito e causare danni per milioni di dollari.
Prilex è un threat actor piuttosto noto e pericoloso, che colpisce il settore dei servizi di pagamento – gli Automated Teller Machines (ATM) e i Point of Sales (PoS). Attivo sin dal 2014, Prilex avrebbe preso parte ad uno dei più grandi attacchi ai bancomat in Brasile durante il Carnevale del 2016, clonando più di 28.000 carte di credito e svuotando oltre 1000 sportelli bancomat di una banca brasiliana. I criminali hanno rubato tutti i fondi presenti all’interno degli sportelli, provocando danni per milioni di dollari. Nel 2016, il gruppo ha concentrato gli attacchi esclusivamente sui sistemi PoS, dopodiché ha migliorato notevolmente il suo malware, trasformandolo in una minaccia complessa che muta velocemente ed è in grado di avere un forte impatto sulla catena di pagamento.
Adesso, Prilex, dopo aver sviluppato sia le sue innovazioni tecniche sia le sue strategie commerciali e di marketing, ha aggiornato i suoi strumenti passando dall’essere un semplice memory scraper a un malware avanzato e complesso, che prende di mira i terminali modulari Point of Sales (PoS). Inoltre, i threat actors dietro Prilex stanno vendendo attivamente il malware sul darknet come Malware-as-a-Service, rendendolo quindi disponibile ad altri truffatori e aumentando il rischio di perdite economiche per le aziende di tutto il mondo.
Attualmente Prilex esegue i cosiddetti attacchi “GHOST” – transazioni fraudolente che utilizzano crittogrammi – precedentemente generati dalla carta della vittima durante il processo di pagamento al negozio.
Le prime catene di infezione ai sistemi vengono solitamente trasmesse attraverso l’ingegneria sociale. Una volta scelto l’obiettivo, i criminali informatici contattano il proprietario dell’attività commerciale (o i suoi dipendenti) e comunicano che il PoS deve essere aggiornato da un tecnico. Successivamente, un finto tecnico si presenta al negozio e infetta il sistema con il software maligno. In altri casi, i truffatori chiedono alla vittima di installare AnyDesk e fornire al finto tecnico gli accessi per consentirgli di introdurre il malware da remoto.
Prima di colpire, i threat actors effettuano uno screening iniziale del dispositivo per verificare il numero di transazioni già avvenute e se vale la pena attaccarlo, quindi, in questo caso, il malware cattura qualsiasi transazione in corso e ne modifica il contenuto per poter rubare le informazioni della carta di credito. Tutti i dettagli delle carte vengono salvati su un file crittografato che verrà poi inviato al server degli attaccanti, consentendo loro di effettuare transazioni tramite un PoS fraudolento e registrato a nome di una società falsa. Dopo aver colpito un sistema PoS, i cyber criminali ottengono i dati di decine e persino centinaia di carte al giorno.
I ricercatori spiegano che l’attacco potrebbe rivelarsi particolarmente pericoloso se i dispositivi colpiti fossero quelli presenti in centri commerciali di città densamente popolate, dove il flusso quotidiano dei clienti può essere di migliaia di persone.
I ricercatori hanno scoperto siti web e canali Telegram dove i criminali informatici vendono il malware Prilex. Spacciandosi per il gruppo Prilex stesso, offrono le ultime versioni del malware PoS, con costi che vanno da 3.500 a 13.000 dollari. Gli esperti di Kaspersky non sono certi a chi facciano realmente capo questi siti web, dal momento che potrebbe trattarsi di imitatori che si spacciano per il gruppo e cercano di rubare denaro sfruttandone la fama.
Gli esperti di Kaspersky hanno inoltre scoperto che Prilex controlla il ciclo di vita dello sviluppo del malware servendosi di Subversion, usato dai team di sviluppo professionali e che un presunto sito ufficiale di Prilex starebbe vendendo i kit del proprio malware ad altri criminali informatici come Malware-as-a-Service. Con l’emergere della loro operazione MasS, versioni altamente sofisticate e pericolose del malware PoS potrebbero diffondersi in molti Paesi e il rischio di perdere milioni di dollari aumenterebbe per le aziende di tutto il mondo.
Fabio Assolini, responsabile del Latin American Global Research and Analysis Team (GReAT) di Kaspersky, ha commentato: “Spesso nei film vediamo i rapinatori irrompere in una banca con una pistola in mano, svuotano la cassa e fuggono via, portando con sé un enorme sacco di soldi. Nella realtà, le rapine in banca avvengono in maniera diversa. Al giorno d’oggi, i veri criminali agiscono nell’ombra: solitamente attaccano da remoto, usando un malware e senza avere nessun tipo di contatto fisico con la banca. Questo fa sì che sia più complesso rilevarli e, finché gli ATM e i PoS non saranno sufficientemente protetti e aggiornati, il numero di minacce e incidenti è destinato ad aumentare”.