PoSeidon, il nuovo malware che ruba i codici delle carte di credito

I ricercatori del team di Cisco hanno scoperto un nuovo malware in grado di colpire i "Point of Sale" degli esercizi commerciali e, visto che attacca i dispositivi per i pagamenti elettronici PoS, è stato subito rinominato "PoSeidon". Il malware PoSeidon sfrutta la tecnica del "memory scraping" per acquisire informazioni delle stringhe conservate in chiaro e contenenti i dati delle carte di pagamento attraverso la RAM del dispositivo. La prima operazione da fare per accedere ai dati contenuti all'interno del PoS è il furto delle credenziali di accesso che consentono di accedere da remoto al sistema di gestione dei dati. Il sistema finge di cancellare dal registro di sistema le password criptate obbligando i clienti a dover re-inserire nuovamente i codici così che i criminali sono in grado di catturarli e salvarli.

Preso il controllo del dispositivo i cyber-criminali caricano all'interno di questo un file loader ed il memory scraper, con questa operazione gli aggressori sono in grado di registrare tutti i movimenti e salvare tutti i dati provenienti dalle carte di credito passate nel terminale. Il memory scraper in questione è in grado di selezionare le carte di credo dalle quali rubare i dati, nel dettaglio lo strumento è stato impostato per leggere le sequenze di numeri di 16 cifre che iniziano per 6, 5, 4, e quelle di 15 cifre che iniziano con 3, distinguendo le carte di credito tra Visa, Mastercard, Discover e American Express. La potenza di questo virus è che il procedimento è quasi del tutto automatico, una volta che il malware PoSeidon ha riconosciuto la carta di credito, in automatico i dati vanno ad aggiungersi all'archivio dati contenente tutti gli estremi delle varie carte rubate. I dati delle carte di credito rubate vengono poi utilizzate dai criminali per clonare carte di credito o per creare false identità digitali. A facilitare il lavoro dei creatori di questo potente malware alcuni negozianti che non utilizzano le giuste misure di sicurezza, è stato infatti messo in evidenza come la maggior parte dei gestori di punti vendita non modifica la password presenti di default nei terminali rendendo così più facile ai criminali accedere all'interno del sistema.