Il malware Prilex originariamente usato per gli attacchi ai POS è stato evoluto per bloccare le transazioni contactless e costringere i clienti a utilizzare le carte di credito fisiche, così da poterle violare.
Autore: Redazione SecurityOpenLab
I pagamenti contactless sono ormai diffusi: non è più necessario “strisciare” la carta di credito o di debito; per pagare il conto basta appoggiare le carte - ancora meglio smartphone o smartwatch - sul POS per qualche istante. Sono moltissimi gli utenti che usano questo sistema di pagamento e ai cyber criminali non è certo sfuggita la possibilità di trasformare la novità in opportunità. Per farlo è stato necessario evolvere il vecchio arsenale per passare dagli attacchi contro gli sportelli bancomat tradizionali a quelli contro i POS di ultima generazione.
Un caso esplicativo è quello di Prilex, un noto attore di minacce i cui attacchi sono stati oggetto di studio da parte di Kaspersky. Nel 2022 questo threat actor si era già evoluto attivando attacchi “GHOST” tramite i quali ha portato avanti violazioni delle carte di credito protette con CHIP e PIN. Lo stesso attore ora si è spinto oltre ed è riuscito a catturare i dati provenienti da carte di credito con tecnologia NFC.
È stato l’attacco contro un cliente di Kaspersky a consentire di esaminare il codice impiegato, che ha rivelato l’esistenza di tre nuove versioni di Prilex in grado di bloccare le transazioni di pagamento contactless. Per comprendere la dinamica dell’attacco è necessario fare un passo indietro e capire come funzionano i pagamenti contactless. I device che li supportano sono dotati di un sistema di identificazione a radiofrequenza (RFID) e tecnologie NFC. Prilex blocca le transazioni contactless basate su NFC, così che il PIN pad chieda di passare al metodo di pagamento tradizionale, con l’inserimento della carta fisica. Così facendo il malware ben noto e rodato può entrare in azione e catturare i dati provenienti dalla transazione.
Un’altra nuova funzionalità di Prilex è la possibilità di filtrare le carte di credito in base al loro livello, creando regole diverse per ciascuno. Questo trucco consente, per esempio, di bloccare la transazione NFC solo se la carta è di tipo Black/Infinite, Corporate o comunque con un massimale elevato. Mentre lascia passare indisturbate le transazioni delle carte standard con un limite basso.
In questi casi l’unica protezione possibile riguarda il terminale di pagamento. Occorre aggiornare le protezioni dei dispositivi più datati e assicurarsi che anche quelli nuovi dispongano di una soluzione di sicurezza a più livelli.