Il Team Group-IB ha di recente condiviso i dettagli di come i criminali informatici avrebbero utilizzato dei malware PoS (point-of-sale) per rubare oltre 167.000 record di pagamento dai dispositivi compromessi, interessando principalmente gli utenti degli Stati Uniti.
MajikPOS e Treasure Hunter
I malware PoS coinvolti nella campagna scoperta sarebbero delle vecchie conoscenze ovvero MajikPOS (rilevato per la prima volta nel 2017) e Treasure Hunter (rilevato per la prima volta nel 2014).
In genere quasi tutti i ceppi di malware POS hanno funzionalità simili di estrazione del dump delle carte, ma metodi diversi per mantenere la persistenza sui dispositivi infetti, l’esfiltrazione e l’elaborazione dei dati.
Entrambi i malware in questione che infettano i terminali POS Windows cercano di risalire ai dati presenti sulla banda magnetica della carta di credito dell’acquirente al momento della strisciata.
Mentre MajikPOS procede a scansionare i dispositivi alla ricerca di risorse non protette VNC e RDP per identificare macchine che ospitano record PoS di pagamento, Treasure Hunter effettua il cosiddetto RAM scraping che consiste nel carpire i dettagli di pagamento sensibili archiviati in chiaro nella nella memoria ad accesso casuale (RAM) del dispositivo PoS.
L’indagine
La campagna scoperta nell’aprile 2022, si sarebbe sviluppata tra il mese di febbraio 2021 e l’8 settembre 2022.
L’indagine avrebbe avuto inizio dall’analisi di un server C2 mal configurato afferente al malware PoS MajikPOS che avrebbe portato a scoprire che il server ospitava anche un pannello amministrativo C2 separato per un altro malware POS identificato per l’appunto come Treasure Hunter.
Il team avrebbe così ricavato informazioni per circa 77.400 dump di carte di credito dal pannello di MajikPOS e più di 90.000 dal pannello di Treasure Hunter. Circa il 97% delle carte compromesse da MajikPOS e il 96% di quelle compromesse da Treasure Hunter sarebbero state emesse da banche statunitensi.
Raccomandazioni
“Il malware POS è diventato meno attraente per gli attori delle minacce negli ultimi anni a causa di alcuni dei suoi limiti e delle misure di sicurezza implementate nel settore dei pagamenti con carta. Tuttavia, come mostra la nostra ricerca, rimane una minaccia significativa per l’industria dei pagamenti nel suo insieme e per le attività separate che non hanno ancora implementato le ultime pratiche di sicurezza.” commenta Group-IB.
Gli esperti esortano infine le banche e le organizzazioni finanziarie affinché prevedano delle procedure che possano bloccare rapidamente le eventuali carte compromesse, mitigando in tal modo rischi e ulteriori danni per i propri clienti.
Qualora una denuncia non venga rilevata tempestivamente dall’autorità emittente della carta, i criminali potrebbero avere tutto il tempo necessario a produrre carte clonate e utilizzarle per prelevare denaro dagli sportelli automatici o per acquisti illeciti.
Dopo aver scoperto l’attacco, Group-IB ha informato le forze dell’ordine e anche un’agenzia di condivisione delle minacce con sede negli Stati Uniti.
Per aiutare a rilevare meglio i malware PoS i ricercatori consigliano inoltre di implementare una rigorosa politica delle password, tenere sempre aggiornato il proprio software e implementare soluzioni di protezione della rete.
