Prilex è il malware PoS che blocca le transazioni NFC per clonare la carta di credito

Prilex è un malware di cui abbiamo già avuto modo di parlare qualche tempo fa: si tratta di una minaccia che interessa da vicino i terminali PoS dei negozi, poiché può intercettare i dati delle transazioni e clonare le carte di credito.

I ricercatori di sicurezza di Kaspersky hanno scoperto nuove versioni in circolazione di questo malware che possono bloccare le transazioni NFC costringendo il cliente del punto vendita ad inserire la carta di credito del terminale, facilitando così la sottrazione delle informazioni necessiarie per clonare la carta.

La diffusione dei metodi di pagamento contactless ha reso più difficile rubare informazioni dalle carte di credito, spingendo gli aggressori a sviluppare nuovi meccanismi per poter raggiungere i propri scopi. Le transazioni NFC generano infatti un ID univoco o un numero di carta valido solo per una singola transazione: questi dati sono inutili se sottratti poiché non possono essere riutilizzati in alcun modo.

Kaspersky afferma di aver individuato almeno tre nuove varianti di Prilex attualmente in circolazione, con numeri di versione 06.03.8070, 06.03.8072 e 06.03.8080, rilasciate per la prima volta nel novembre 2022. Queste varianti, dopo aver rilevato l'instaurarsi di una comunicazione NFC a scopo transazionale, bloccano l'operazione e mostrano un messaggio d'errore inducendo l'utente ad inserire la carta nel lettore. A questo punto Prilex può intercettare i dati della carta di credito ed effettuare, a seguito di una catena di compromissioni, un attacco di "transazione GHOST" che riesce a sfuggire alle misure di sicurezza delle tecnologie Chip e PIN.

I ricercatori di Kaspersky hanno scoperto una nuova funzionalità sulle varianti più recenti di Prilex: la possibilità di filtrare e scegliere carte e circuiti specifici verso le quali perpetrare l'attacco. Un insieme di regole di filtraggio può bloccare le transazioni NFC solamente per carte di credito con elevati limiti di transazione o per carte aziendali, che sono più appetibili rispetto a carte ricaricabili o con limiti di spesa bassi.

Le contromisure da adottare per proteggersi da malware che risiedono su un terminale PoS sono in realtà poche e limitate, proprio perché non c'è modo di sapere se un dispositivo di pagamento possa essere compromesso. L'unico suggerimento, più di buonsenso che altro, è quello di diffidare da terminali che presentino evidenti segni di manomissione, ma in generale in questi casi le azioni di contrasto possono essere solo di tipo reattivo: controllare assiduamente l'estratto conto della propria carta ed intervenire immediatamente contattando l'emittente della carta qualora si riscontrino transazioni sconosciute.