▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Il Malware-as-Service Prilex si evolve, è sempre più pericoloso

Una complessa catena di attacco consente agli affiliati di rubare anche milioni di dati di carte di credito in un solo giorno.

Business Vulnerabilità

Sul dark web è in vendita a prezzi compresi fra 3.500 a 13.000 dollari il malware che prende di mira banche, bancomat e PoS. Inizialmente impiegato per furti di denaro ai danni degli istituti bancari, questo malware si è evoluto sia sotto l’aspetto tecnico, sia per marketing e commerciali, e ora non è più un semplice memory scraper: è un Malware-as-a-Service avanzato e complesso, capace di aumentare il rischio di perdite economiche per le aziende di tutto il mondo.

Gli autori sono ben noti: è l’omonimo gruppo Prilex, un threat actor attivo dal 2014 e ritenuto pericoloso, specializzato nei “colpi” contro i servizi di pagamento, siano essi ATM o PoS. Dal 2016 si è però concentrato in maniera verticale su questi ultimi, investendo tempo e denaro per migliorare il proprio malware, fino a trasformarlo in una minaccia complessa che muta velocemente ed è in grado di avere un forte impatto sulla catena di pagamento.

La catena di attacco

Gli esperti di Kaspersky che he hanno studiato le mosse sono certi che ormai questo threat actor esegua attacchi GHOST, ossia transazioni fraudolente che utilizzano crittogrammi. Tali attacchi vengono generati dalla carta della vittima durante il processo di pagamento presso il punto vendita. La catena di attacco ha inizio con l’ingegneria sociale: dopo aver scelto l’obiettivo, i criminali informatici chiamano il proprietario dell’attività commerciale (o i suoi dipendenti) millantando che il PoS deve essere aggiornato da un tecnico.


Un finto tecnico si presenta quindi al negozio e infetta il sistema con il software maligno. In altri casi, i truffatori chiedono alla vittima di installare AnyDesk e fornire al finto tecnico gli accessi per consentirgli di introdurre il malware da remoto.

Una volta sbrigata questa fase iniziale, i criminali informatici effettuano uno screening iniziale del dispositivo per verificare il numero di transazioni già avvenute e se vale la pena attaccarlo. In caso positivo inizia l’attacco vero e proprio: il malware iniziata catturare qualsiasi transazione in corso e ne modifica il contenuto per rubare le informazioni della carta di credito. Tutti i dettagli delle carte vengono salvati su un file crittografato che verrà poi inviato al server di comando e controllo degli attaccanti. Con i dati rubati i cyber criminali eseguiranno successivamente transazioni tramite un PoS fraudolento e registrato a nome di una società falsa.

Così facendo basta infettare un punto vendita particolarmente frequentato per ottenere i dati di decine, persino centinaia di carte al giorno. L’attacco potrebbe rivelarsi particolarmente pericoloso se i dispositivi colpiti fossero quelli presenti in centri commerciali di città densamente popolate, dove il flusso quotidiano dei clienti può essere di migliaia di persone.


Il MaaS

Nella loro indagine gli esperti di Kaspersky hanno scoperto che Prilex controlla il ciclo di vita dello sviluppo del malware tramite uno strumento professionale usato dai team di professionisti dello sviluppo: Subversion. E che sono in vendita sul dark web dei veri e propri kit Malware-as-a-Service di Prilex. Questa operazione può diffondere versioni altamente sofisticate e pericolose del malware PoS in molti Paesi, con il rischio di perdite per milioni di dollari da parte delle aziende.

Le istruzioni per difendersi dalla nuova variante del malware e tutti i dettagli tecnici della ricerca sono pubblicati sulla pagina ufficiale della ricerca.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 11
Microsoft Sentinel: la piattaforma SIEM e SOAR per il soc moderno
Lug 11
Accesso Sicuro, Futuro Protetto: Il Viaggio con Cisco Duo
Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?
Lug 18
Ready Informatica Training Online | Cove Data Protection di N-able

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1