Dopo un periodo nel quale sembravano quasi del tutto scomparsi dalla scena del cyber crimine, i malware che colpiscono i POS (Point-Of-Sale) nei negozi fisici e virtuali per rubare il numero delle carte di credito stanno tornando alla ribalta. GlitchPOS è l’ultima scoperta degli analisti di sicurezza di Talos.
A quanto pare, il malware è in vendita in una versione pronta all’uso su alcuni forum underground della Rete a 250 dollari, mentre il tool per generarlo ha un “prezzo di listino” di 600 dollari. L’offerta, se così si può chiamare, comprende anche un pannello di controllo per gestire il malware a distanza e un video tutorial che ne mostra la facilità d’uso.
Indice degli argomenti
Terminali POS: il punto debole della catena difensiva
Analogamente agli altri codici malevoli di questa tipologia, anche GlitchPOS viene generalmente iniettato sui siti web dei rivenditori e nei punti di vendita al dettaglio con l’obiettivo di tracciare le informazioni sui pagamenti dei clienti e rubare i numeri delle carte di credito, consentendo ai criminal hacker di riutilizzarli subito con un guadagno economico notevole e immediato o per acquistare altri exploit e strumenti di attacco sul mercato nero del Dark Web.
Lo conferma al nostro sito anche Fabio Panada, Consulting Systems Engineer, Cisco Italia: “I malware per POS sono spesso un modo semplice, poco rischioso e redditizio per ottenere informazioni di valore. L’obiettivo è rubare dati di pagamento, normalmente dati di carte di credito, da sistemi usati nella grande distribuzione. I criminali spesso comprano malware per POS per rubare dati ai clienti con l’intenzione poi di rivenderli piuttosto che usarli direttamente. La scoperta di GlitchPOS, nascosto curiosamente in un semplice videogioco con a tema i gatti (e non è la prima volta), dimostra ancora una volta come la creazione di questa tipologia di malware sia ancora diffusa, anche a causa dell’ottimo ritorno dell’investimento di questa attività”.
Secondo gli analisti che lo hanno scoperto, dietro GlitchPOS ci sarebbe lo stesso autore della botnet DiamondFox L!NK, conosciuto nell’ambiente del cyber crimine con il nickname Edbitss.
I POS, dunque, si confermano di nuovo vulnerabili a causa dei sistemi di protezione di fatto inesistenti. Raramente, infatti, i terminali per il pagamento elettronico vengono tenuti in considerazione nelle policy di sicurezza informatica delle aziende, diventando così un facile bersaglio per i criminal hacker.
GlitchPOS: analisi tecnica del malware
I criminal hacker stanno diffondendo GlitchPOS mediante una campagna massiva di malspam che distribuisce un finto videogame con divertenti immagini di gattini.
Ecco come si presenta l’interfaccia del finto videogame che “nasconde” il codice malevolo vero e proprio di GlitchPOS.
L’analisi tecnica del codice malevolo di GlitchPOS mostra che il malware utilizza un file autoestraente scritto in VisualBasic il cui unico scopo è quello di decodificare una libreria al cui interno si trova il payload vero e proprio del virus scritto nello stesso linguaggio.
In particolare, si tratta di un “memory grabber” che, una volta installato, si collega a un server remoto di comando e controllo (C2) per ricevere le istruzioni malevoli. Dopo averle ottenute, il malware inizia a monitorare i sistemi compromessi, rubare e inviare ai criminal hacker i numeri delle carte di credito dalla memoria del POS e la “encryption key” che serve per codificare le comunicazioni con il server C2.
Il semplice codice VisualBasic che consente a GlitchPOS di esfiltrare i numeri delle carte di credito dalla memoria del POS compromesso.
Completata questa sequenza di operazioni, GlitchPOS si auto-cancella per non lasciare traccia sul sistema infetto.
I consigli per difendersi da GlitchPOS
Come dicevamo, i criminal hacker stanno diffondendo GlitchPOS mediante una campagna di malspam.
Per difendersi è quindi utile seguire alcuni semplici consigli:
- non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;
- trattare sempre gli allegati di mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
- non eseguire mai file eseguibili allegati alle e-mail, a meno di non essere assolutamente certi della provenienza;
- se si dovesse aprire il documento in allegato e questi consiglia diversamente, non bisogna mai abilitare le macro all’interno dei prodotti Office;
- in caso di dubbio, contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;
- eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali.
È importante, inoltre, prevedere una policy di sicurezza anche per il terminale POS che preveda aggiornamenti continui.
Inoltre, suggerisce ancora Fabio Panada di Cisco Italia, “una propria politica di segmentazione è un aspetto fondamentale per un primo livello di protezione e mitigazione, ma a questo dobbiamo aggiungere il consiglio di applicare le migliori best practices a disposizione e di utilizzare un approccio architetturale end-to-end per una copertura completa”.
Infine, il consiglio per tutte le aziende è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti, avvisandoli periodicamente delle minacce in corso, utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.
