Pro PoS, una vera e propria corazzata tra i fratelli in armi

I ricercatori della società americana InfoArmor, specializzata nella protezione delle imprese nei confronti delle frodi, hanno individuato un nuovo malware PoS dotato di un solido e potente insieme di strumenti malevoli atti a contrastare l’azione protettiva svolta dai software di sicurezza IT. In particolare, Pro PoS Solution utilizza il polimorfismo, allo scopo di eludere il possibile rilevamento da parte delle soluzioni anti-malware basate sulle firme; inoltre, esso è provvisto di apposita funzionalità rootkit, volta a garantire la persistenza e l’occultamento della presenza di Pro PoS all’interno del sistema preso di mira.

Secondo InfoArmor, il nuovo arrivato “pesa”, complessivamente, soltanto 76 KB, e viene attivamente utilizzato per la conduzione di attacchi rivolti alle imprese commerciali che effettuano vendite al dettaglio sul territorio di Stati Uniti e Canada.

In base a quanto riferisce un annuncio pubblicitario in lingua russa, collocato alla fine del mese di ottobre all’interno di uno dei numerosi forum underground, il malware Pro PoS è in grado di monitorare eventuali esecuzioni in modalità sandbox, così come l’utilizzo di emulatori di altro genere, ad eccezione di quelli che si avvalgono della virtualizzazione. Gli autori di tale software nocivo promettono inoltre, attraverso il suddetto annuncio, la release di speciali plugin, sia per compiere il furto delle password a livello di browser, client FTP ed altre applicazioni, sia per registrare le sequenze dei tasti premuti dall’utente (keylogger), anche a livello di tastiera virtuale.

In occasione del “Black Friday”, gli osservatori di InfoArmor hanno rilevato la comparsa di tutta una serie di importanti aggiornamenti per Pro PoS, così come un significativo aumento del prezzo relativo a tale malware: sino a 2.600 dollari per una licenza di sei mesi.

È opportuno segnalare come, nell’anno in corso, nell’ambito del mercato nero della cybercriminalità, il numero delle nuove offerte inerenti a malware in grado di compromettere i terminali PoS, sia considerevolmente aumentato. Soltanto in questo ultimo mese hanno fatto la loro apparizione almeno tre nuovi nomi: si tratta, nella fattispecie, di Cherry Picker, Abaddon e dell’ancor più complesso ModPOS. Il reporter di The Register che ha illustrato la scoperta effettuata dalla società InfoArmor avanza l’ipotesi secondo la quale sono stati proprio alcuni eclatanti attacchi condotti, rispettivamente, nei confronti di una famosa catena di superstore e di alcune note catene alberghiere, a stimolare in particolar modo l’interesse dei virus writer riguardo a tale genere di malware; ricordiamo, a tal proposito, l’ingente fuga di dati (relativi alla propria clientela) subita da Target, oppure le infezioni informatiche di cui sono state recentemente vittima le reti di vendita al dettaglio di Hilton, Trump e Starwood.

Le massicce violazioni che hanno interessato i sistemi di pagamento utilizzati nell’ambito delle vendite al dettaglio, attacchi realizzati mediante l’utilizzo di sofisticati malware PoS, hanno attirato le attenzioni di tutti nei confronti di questa particolare tipologia di malware, ed hanno sostanzialmente “obbligato” i virus writer a perfezionare, in maniera ancor più accurata, il funzionamento di tale genere di software malevolo. Così, gli autori di numerosi malware PoS hanno iniziato ad avvalersi della rete Tor, allo scopo di occultare il traffico generato dai server di comando e controllo (C&C). I malintenzionati stanno ugualmente monitorando le specifiche tendenze che emergono a livello di impiego dei vari OS nel settore retail; essi cercano, quindi, di implementare attivamente il necessario supporto per i nuovi sistemi operativi che fanno la loro comparsa online, in special modo quelli utilizzati nei moderni sistemi di back office, negli ambienti dedicati alle vendite al dettaglio.

Fonte: The Register

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *