Rubare i dati delle carte di pagamento è diventato un crimine di tutti i giorni che produce rapidi guadagni monetari. I ricercatori Trend Micro hanno scoperto “MalumPOS”, un nuovo malware point-of-sale (POS) progettato per sistemi che eseguono Micros e altre piattaforme PoS bersaglio. Il malware, che appartiene alla famiglia dei “PoS RAM Scrapers”, prende di mira le transazioni via Visa, Mastercard e American Express, ma non solo. I cybercriminali si impossessano dei dati contenuti nelle bande magnetiche delle carte di credito quando questi vengono trasferiti nella memoria RAM del computer per poi clonare le stesse carte ed eseguire transazioni sui conti ad esse associati.
Dal 2013, i malware POS sono in rapida evoluzione e spesso utilizzano tecniche di evasione e metodi di “exfiltration”. I laboratori Trend Micro, leader globale nella sicurezza per il cloud, comunicano di aver scoperto un nuovo pericoloso malware diretto ai sistemi PoS. Ribattezzato con il nome “MalumPoS”, questo malware sta attaccando e collezionando i dati dei PoS che utilizzano la piattaforma Oracle® Micros®, installata su oltre 330.000 sistemi in tutto il mondo, specialmente nei settori alberghiero, food & beverage (F & B) e retail. Micros, acquisita lo scorso anno da Oracle per 5,3 miliardi dollari, sviluppa PoS ed enterprise information software per le industrie retail e hospitality.
 |
| Fonte: Trend Micro |
I cybercriminali, spiegano i ricercatori Trend Micro, utilizzano questo malware per impossessarsi dei dati contenuti nelle bande magnetiche delle carte di credito, quando questi vengono trasferiti nella RAM del computer collegato al PoS. Questi dati, una volta esfiltrati dai cyber criminali, possono essere utilizzati per clonare le carte di credito ed effettuare transazioni finanziarie fraudolente, utilizzando i conti bancari ad esse associati. MalumPoS sta prendendo di mira i dati delle carte di credito Visa, MasterCard e American Express, soprattutto negli Stati Uniti, ma ha la caratteristica di poter essere configurato dagli attaccanti per compromettere diversi sistemi PoS.
Per questo potrebbe essere utilizzato per attaccare altre piattaforme, espandendo il suo bacino di potenziali vittime. Il malware MalumPOS, che viene distribuito attraverso vari metodi, si presenta come “NVIDIA Display Driver” o “NVIDIA display Driv3r” sul sistema. Una volta che infetta un dispositivo, la minaccia controlla i processi in esecuzione e raschia il contenuto della memoria delle preziose informazioni sulla carta di pagamento. Il malware può bersagliare fino a 100 processi. I dati della carta di credito raschiata vengono criptati e memorizzati in un file chiamato “nvsvc.dll” per farlo apparire come se fosse un componente del driver NVIDIA legittimo.
MalumPOS è stato sviluppato utilizzando il linguaggio di programmazione Delphi e utilizza espressioni regolari per la ricerca di numeri di carte di credito e altri dati importanti. Diverse espressioni regolari sono usati per identificare Track 1 e Track 2 data. Tuttavia, gli esperti di Trend Micro hanno notato che le espressioni specifiche utilizzate da MalumPOS erano state precedentemente avvistate nella famiglia del malware Rdaserv, il che suggerisce che le minacce sono in qualche modo collegate. Oltre a camuffare componenti come driver grafici NVIDIA, gli sviluppatori di malware usano anche vecchi time stamp, e API dinamicamente caricate per eludere i rilevamenti.
Mentre MalumPOS sembra prendere di mira principalmente dispositivi che utilizzano la piattaforma Micros, i ricercatori dicono che è anche in grado di rubare informazioni dai sistemi che eseguono Oracle Forms, Shift4 e quelli accessibili tramite Internet Explorer. Il gateway di pagamento Shift4 ha chiarito che il suo prodotto utilizza “tokenizzazione” completa e crittografia point-to-point (P2PE) che impediscono qualsiasi scraping malware dati dei titolari delle carte. Trend Micro, spiega CERT Nazionale, ha pubblicato un’analisi approfondita di questo malware, che include indicatori di compromissione (IoC) e regole YARA utilizzabili per rilevare la presenza del malware.
La notizia completa è disponibile all’interno del blog Trend Micro. Come difendersi dai malware diretti ai sistemi PoS? La ricerca Trend Micro. Trend Micro assicura la protezione intelligente di informazioni, con soluzioni di sicurezza innovative facili da implementare e gestire e adatte all’ecosistema in evoluzione. Tutte le soluzioni si affidano alle informazioni globali sulle minacce in-the-cloud, Trend Micro™ Smart Protection Network™, e agli oltre 1200 esperti di minacce globali. Informazioni aggiuntive su Trend Micro Incorporated sono disponibili su www.trendmicro.it. In alternativa, è possibile tenersi informati sulle sue novità tramite Twitter all’indirizzo @TrendMicroItaly.
 |
| Fonte: Trend Micro |
Mentre MalumPOS sembra prendere di mira principalmente dispositivi che utilizzano la piattaforma Micros, i ricercatori dicono che è anche in grado di rubare informazioni dai sistemi che eseguono Oracle Forms, Shift4 e quelli accessibili tramite Internet Explorer. Il gateway di pagamento Shift4 ha chiarito che il suo prodotto utilizza “tokenizzazione” completa e crittografia point-to-point (P2PE) che impediscono qualsiasi scraping malware dati dei titolari delle carte. Trend Micro, spiega CERT Nazionale, ha pubblicato un’analisi approfondita di questo malware, che include indicatori di compromissione (IoC) e regole YARA utilizzabili per rilevare la presenza del malware.
La notizia completa è disponibile all’interno del blog Trend Micro. Come difendersi dai malware diretti ai sistemi PoS? La ricerca Trend Micro. Trend Micro assicura la protezione intelligente di informazioni, con soluzioni di sicurezza innovative facili da implementare e gestire e adatte all’ecosistema in evoluzione. Tutte le soluzioni si affidano alle informazioni globali sulle minacce in-the-cloud, Trend Micro™ Smart Protection Network™, e agli oltre 1200 esperti di minacce globali. Informazioni aggiuntive su Trend Micro Incorporated sono disponibili su www.trendmicro.it. In alternativa, è possibile tenersi informati sulle sue novità tramite Twitter all’indirizzo @TrendMicroItaly.
Nessun commento:
Posta un commento