{"id":2534,"date":"2014-01-28T15:00:11","date_gmt":"2014-01-28T15:00:11","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=2534"},"modified":"2020-02-26T17:21:31","modified_gmt":"2020-02-26T15:21:31","slug":"ram-scraper-e-altri-malware-pos","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ram-scraper-e-altri-malware-pos\/2534\/","title":{"rendered":"RAM Scraper e altri malware POS"},"content":{"rendered":"

Nonostante la violazione abbia interessato esclusivamente gli Stati Uniti, la notizia ha fatto velocemente il giro del mondo. Durante la fine dello scorso anno, il colosso della vendita al dettaglio statunitense Target \u00e8 stato vittima di un\u2019enorme violazione<\/a> e furto di dati. Durante l\u2019attacco, della durata di circa un mese (durante la stagione dei saldi), sono stati rubati dati di carte di credito a circa 40 milioni di utenti, cos\u00ec come informazioni personali di altri 70 milioni di clienti. Questa breccia si \u00e8 ripercossa di conseguenza su quasi tutti gli store fisici Target degli States.<\/p>\n

Forse penserete che per rubare i dati delle carte di credito di centinaia di milioni di utenti Target, gli hacker avranno avuto bisogno di compromettere aziende processori di pagamento o direttamente i server aziendali di Target, rubando cos\u00ec tutti i dati in massa da una sola localizzazione centrale. Naturalmente, questo sarebbe stato un buon metodo, ma non \u00e8 quello utilizzato in questo caso.<\/p>\n

Infatti, i processori di pagamento o il sistema che processa i pagamenti di Target non hanno molto a che vedere con questa violazione. Chiunque sia il responsabile dell\u2019attacco ha impiegato un malware speciale in grado di colpire i lettori delle carte di credito, i POS e i registratori di cassa utilizzati nei punti vendita. Tale malware \u00e8 conosciuto come point-of-sale<\/i> malware <\/i>o malware POS<\/i>.<\/p>\n

Il malware POS \u00e8 in grado di \u201craschiare\u201d e decifrare i dati RAM e acquisire informazioni di pagamento come numeri di carte di credito, username, indirizzi, codici di sicurezza e altri dati tracciabili.<\/div>\n

In realt\u00e0, gli hacker sono riusciti a penetrare nei server di pagamento di Target. La difficolt\u00e0 stava all\u2019epoca nel fatto che i dati delle carte di credito erano criptate<\/a>. Tuttavia, esiste un breve periodo di tempo in cui queste informazioni devono essere decriptate in plain-text per questioni di autorizzazioni di pagamento. Durante quel periodo, il registratore di cassa o il server, in base al sistema, immagazzina i dati di pagamento in plain-text nella sua memoria RAM.<\/p>\n

Qui \u00e8 dove entra in gioco il malware POS. Il malware POS \u00e8 in grado di \u201craschiare\u201d e decifrare i dati RAM decriptati e acquisire informazioni di pagamento come numeri di carte di credito, username, indirizzi, codici di sicurezza e altri dati tracciabili. Questo tipo di malware, conosciuto come RAM scraper<\/a> (da scrape<\/i>, raschiare), \u00e8 in circolazione da circa 6 anni.<\/p>\n

Nel caso Target, \u00e8 probabile che gli hacker abbiano spostato il malware POS da un server centrale e connesso o macchina, a un terminale POS o server sul quale ha luogo il processo di autorizzazione. Se cos\u00ec non fosse, avrebbero dovuto installare il RAM scraper su ogni singolo terminale POS posseduto da ogni negozio Target \u2013 il che \u00e8 altamente improbabile.<\/p>\n

Un ricercatore di Seculert<\/a> ha esaminato l\u2019incidente e ha suggerito che gli hacker hanno compromesso l\u2019infrastruttura POS di Target attraverso una macchina infetta presente sulla loro network. Da qui, in teoria, avrebbero poi installato una variante del noto malware BlackPOS, acquistabile senza grosse difficolt\u00e0 nei forum di hacking del mercato nero criminale (nel caso si sappia dove cercare).<\/p>\n

Secondo un\u2019avvertenza emanata dall\u2019unione di alcuni organismi statunitensi formata dal Department of Homeland Security, i Servizi Segreti, la National Cybersecurity and Communications Integration Center, il Financial Sector Information Sharing and Analysis Center e il iSIGHT Partners, il malware BlackPOS non \u00e8 difficile da scovare perch\u00e9 il suo codice \u00e8 stato da poco reso pubblico.<\/p>\n

Tuttavia, BlackPOS non \u00e8 l\u2019unico malware POS e Target non \u00e8 in nessun modo l\u2019unico retail che ha dovuto affrontare questa minaccia. Infatti, anche il department store di lusso Nieman Marcus e il retailer Michael\u2019s hanno annunciato di essere stati vittima di un attacco simile. C\u2019\u00e8 chi sostiene che le tre violazioni siano collegate, ma sono solo supposizioni.<\/p>\n

Nell\u2019avviso lanciato dalla coalizione degli organismi<\/a> si avverte che il malware POS \u00e8 sull\u2019orlo di una esplosione. Piuttosto che a nuovi campioni, si assister\u00e0 probabilmente \u2013 afferma l\u2019unione \u2013 a una modificazione di un Trojan bancario<\/a> esistente come Zeus. Dato che il malware POS \u00e8 ora disponibile ai criminali e visibile alle forze dell\u2019ordine, i creatori di RAM scraper (come prima di loro i disegnatori del Trojan bancario) inizieranno a disegnare Trojan privati difficili da individuare.<\/p>\n

L\u2019azienda di consulenza finanziaria newyorchese DHS and Company ha osservato nei forum degli sviluppatori freelance un consistente incremento di inserzioni pubblicitarie relative ai malware POS. In altre parole, i criminali domandano quali siano i prezzi per lo sviluppo di un RAM scraper. DHS afferma che un tale aumento si \u00e8 verificato anche nel 2010, anno in cui i progetti di sviluppo di malware POS esternalizzati venivano valutati tra i 425 e i 2.500 dollari, raggiungendo i 6.500 dollari alla fine dell\u2019anno \u2013 e l\u2019interesse per questo malware non accenna a diminuire.<\/p>\n

Inoltre, si ritiene che l\u2019aumento della richiesta di malware POS sar\u00e0 alimentata dagli attuali Trojan capaci di rubare le credenziali con codici sorgente accessibili, Trojan facilmente modificabili per realizzare operazioni di RAM scraping.<\/i><\/p>\n

\u201cIl \u2018leakaggio\u2019 del codice sorgente del malware del furto di credenziali potrebbe offrire un punto di partenza per coloro che non hanno le abilit\u00e0 per creare un nuovo ed intero tipo di malware, o per quelle persone che cercano di ottimizzare l\u2019efficienza del proprio lavoro\u201d si legge nell\u2019avviso. \u201cL\u2019abbassamento della guardia pu\u00f2 portare all\u2019aumento dei malware POS venduti a prezzi scontati e quindi al suo deprezzamento e diffusione\u201d.<\/p>\n

Questo \u00e8 il nodo centrale della questione e si tratta di un paradigma valido in ogni ambito del cybercrime. A prima vista gli attacchi sono una novit\u00e0, sembrano difficili da realizzare e da ripetere, ma poi diventano pi\u00f9 semplici, richiedendo sempre meno abilit\u00e0 per la loro realizzazione. Inoltre, anche gli hacker pi\u00f9 abili iniziano a costruire kit di attacco sempre pi\u00f9 facili da usare che danno la possibilit\u00e0 a chiunque in possesso di una tastiera e di un po\u2019 di \u201cmalignit\u00e0\u201d, di portare a termine qualche colpo cibernetico.<\/p>\n

Si tratta nuovamente di una situazione per la quale possiamo fare ben poco. Naturalmente non possiamo entrare nel nostro supermercato preferito e rimpiazzare tutti i dispositivi Windows XP vulnerabili legati alle infrastrutture POS e sostituirli con sistemi di gestione delle operazioni moderni e sicuri. Purtroppo, possiamo fare molto poco per assicurarci che i rivenditori stiano seguendo le Best Practices o che ogni dispositivo sulla rete sia sicuro.<\/p>\n

Ma non finisce qui: ci sono probabilmente un sacco di vulnerabilit\u00e0 di cui non sapremo mai nulla, o perch\u00e9 l\u2019azienda\/vittima \u00e8 disonesta, o solo per cattiva informazione. Target si \u00e8 fatta avanti abbastanza velocemente per risolvere la situazione e ne \u00e8 uscita abbastanza pulita. La maggior parte delle banche hanno pubblicato avvisi sui loro siti web dove avvisavano i consumatori circa il rischio e davano la possibilit\u00e0 ai loro clienti di monitorare gli account e sostituire le carte di credito o bancomat compromessi. Questo purtroppo \u00e8 tutto quello che possiamo fare: rimanere informati, controllare l\u2019estratto conto e richiedere eventualmente una nuova tessera.<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Nonostante la violazione abbia interessato esclusivamente gli Stati Uniti, la notizia ha fatto velocemente il giro del mondo. Durante la fine dello scorso anno, il colosso della vendita al dettaglio statunitense Target \u00e8 stato vittima di un\u2019enorme violazione e furto di dati. Durante l\u2019attacco, della durata di circa un mese (durante la stagione dei saldi), sono stati rubati dati di carte di credito a circa 40 milioni di utenti, cos\u00ec come informazioni personali di altri 70 milioni di clienti. Questa breccia si \u00e8 ripercossa di conseguenza su quasi tutti gli store fisici Target degli States.<\/p>\n","protected":false},"author":42,"featured_media":2535,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[22,904,903,905],"class_list":{"0":"post-2534","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-malware-2","9":"tag-malware-pos","10":"tag-pos","11":"tag-ram-scraper"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ram-scraper-e-altri-malware-pos\/2534\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/malware-2\/","name":"malware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/2534","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=2534"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/2534\/revisions"}],"predecessor-version":[{"id":20350,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/2534\/revisions\/20350"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/2535"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=2534"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=2534"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=2534"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}