Prilex Malware: la minaccia brasiliana che colpisce i terminali POS

Analisi di Prilex Malware. Come funziona e quali danni può causare ai terminali POS e alle transazioni bancarie.

I pagamenti elettronici sono ormai divenuti lo standard della nostra società. Come tale la loro sicurezza ha assunto una priorità assoluta per aziende, istituti bancari e consumatori. Vista la preponderante adozione di soluzioni di pagamento contactless e POS (Point-of-Service) sempre più avanzati, i cybercriminali hanno affinato le loro tecniche per violare facilmente questi sistemi.

Cos’è Prilex?
Come funziona Prilex?
Impatto di Prilex
Best practices contro Prilex Malware

In questo ambito si inserisce un malware creato ad hoc per compromettere i terminali di pagamento e intercettare dati sensibili delle carte di credito. Una minaccia che risponde al nome di Prilex e che negli ultimi anni si è distinta per la capacità di bloccare le transazioni contactless e costringere le vittime a inserire fisicamente la carta, esponendola così a un attacco mirato.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è Prilex?

Prilex è un POS malware modulare di origini brasiliane, che prende di mira i terminali di pagamento elettronici utilizzati nei negozi e nei servizi di pagamento contactless. Scoperto per la prima volta nel 2014, dapprincipio era stato inteso come un semplice trojan bancario. Tuttavia, il collettivo cybercriminale alle sue spalle lo ha in seguito reso modulare, in modo da permettergli di attaccare direttamente ATM e POS. A differenza di altri malware finanziari, Prilex non si limita a sottrarre dati, ma interviene direttamente sul processo di pagamento, adattandosi alle tecnologie di sicurezza più recenti.

Diffuso attivamente in Brasile tra il 2014 e il 2016, Prilex ha conosciuto un’evoluzione notevole e una diffusione internazionale negli anni successivi, passando dalla clonazione delle carte, all’infiltrazione diretta nei sistemi di pagamento fisici. Il collettivo Prilex, infatti, ha integrato nel suo codice dei moduli specifici per aggirare le misure di protezione delle carte EMV (Europay, Mastercard e VISA) e compromettere terminali di pagamento legittimi. Nella sua ultima versione, risalente al febbraio 2023, una delle sue tecniche più avanzate consiste nel disabilitare le transazioni contactless, forzando gli utenti a utilizzare la carta fisica, rendendola vulnerabile alla manipolazione.

L’obiettivo principale di Prilex è l’appropriazione della carta di credito, o di debito, degli ignari utenti, con particolare interesse per quelle con alti limiti di spesa. Una volta compromesso un terminale POS, il malware intercetta i dati crittografici delle transazioni, permettendo ai criminali di generare carte virtuali fraudolente. Da ciò si evince la pericolosità del malware, capace di generare un impatto notevole su esercenti, clienti e istituti di credito.

Come funziona Prilex?

Prilex è scritto principalmente in Delphi, un linguaggio frequentemente utilizzato dai collettivi cybercriminali brasiliani per lo sviluppo di malware bancari. La sua architettura modulare, invece, è stata scritta in C++, linguaggio noto per la sua efficienza e flessibilità nella manipolazione diretta dell’hardware e delle risorse di sistema. Quest’ultima consente agli attori malevoli di aggiungere o aggiornare funzionalità specifiche senza dover riscrivere l’intero codice. In tal modo, l’adattamento a diversi ambienti e obiettivi è notevolmente facilitato. Per eludere le analisi statiche e dinamiche da parte degli analisti di sicurezza informatica, Prilex integra al suo interno un modulo specifico per il packing, in modo da offuscare all’occorrenza il proprio codice.

Metodo di diffusione

Come altri illustri esponenti del genere, anche Prilex viene principalmente diffuso attraverso campagne di phishing mirate. Infatti, le vittime ricevono e-mail contenenti allegati malevoli o link a siti compromessi. Queste sono camuffate da comunicazioni legittime, come aggiornamenti software o notifiche di sistema, che inducono l’utente a scaricare ed eseguire il malware.

C’è da dire che il phishing non è l’unico mezzo di diffusione di Prilex. Infatti, sono stati registrati anche attacchi mirati a livello di supply chain. In questi casi, gli attaccanti fanno ricorso a tattiche di social engineering per convincere gli esercenti a installare versioni compromesse del software POS, spacciandole per aggiornamenti ufficiali. Altri metodi di diffusione includono chiavette USB infette lasciate nei pressi dei negozi, o backdoor installate su computer precedentemente compromessi all’interno delle reti aziendali.

Una volta eseguito, Prilex sfrutta vulnerabilità presenti nel sistema per effettuare una privilege escalation. Così facendo si garantisce non solo la persistenza nel dispositivo infettato, ma anche il suo controllo incondizionato.

Infezione dei sistemi target

A seguito dell’infezione iniziale, Prilex identifica e termina eventuali processi di sicurezza attivi che potrebbero rilevare o bloccare le sue attività malevole. Successivamente, il malware si integra nel software del terminale POS, monitorando le transazioni in tempo reale e agendo come un man-in-the-middle tra il lettore di carte e il middleware di pagamento.

A tal proposito, un modulo di Prilex gli permette anche di manipolare le comunicazioni tra il terminale e il server di autorizzazione. Ciò è possibile attraverso l’iniezione diretta di codice malevolo all’interno del software di sistema, in modo da alterare il flusso delle transazioni senza destare sospetti. A ciò si aggiunge la sua caratteristica più distintiva: la disabilitazione delle funzionalità di pagamento contactless del POS infettato. In tal modo, Prilex costringe le vittime, ignare della sua presenza, a inserire fisicamente la loro carta di credito, aumentando così le possibilità di intercettazione dei dati.

Prilex Malware Infografica

Appropriazione delle informazioni di pagamento

Con il terminale POS ormai del tutto compromesso, Prilex stabilisce una connessione con il server C2 (Command & Control) gestito dai cybercriminali. Quindi da inizio all’intercettazione dei dati sensibili delle carte introdotte al suo interno durante le transazioni, attraverso tecniche di RAM Scraping e GHOST Transaction. Nello specifico, il malware si appropria di:

Numero PAN (Primary Account Number);
Data di scadenza della carta;
Codice CVV (Card Verification Value);
Dati crittografici delle transazioni EMV;

Questi dati sono successivamente crittografati e inviati ai server degli attaccanti per ulteriori exploit. In particolare, vengono impiegati per la generazione di carte virtuali clonate, largamente usate per transazioni fraudolente senza bisogno della carta fisica originale.

Impatto di Prilex

L’infezione di Prilex ha un impatto critico sia a livello economico che reputazionale per aziende e organizzazioni. La compromissione dei terminali POS non solo espone i dati sensibili dei clienti, ma altera l’integrità delle transazioni, aumentando il rischio di frodi finanziarie. Questo porta a una perdita di fiducia da parte dei consumatori e può tradursi in sanzioni, danni legali e ingenti costi di gestione per le imprese. Inoltre, la creazione di carte virtuali fraudolente genera perdite dirette per le istituzioni finanziarie e incrementa il rischio di chargeback, con impatti significativi sul settore bancario.

Per i consumatori le conseguenze sono altrettanto gravi. L’intercettazione dei dati bancari e il successivo utilizzo fraudolento delle carte portano a furti d’identità, transazioni non autorizzate e danni economici diretti. Le vittime si trovano costrette ad affrontare procedure complesse per il recupero dei fondi, che impattano direttamente sulla loro sicurezza finanziaria e sulla fiducia nei sistemi di pagamento digitali.

Best practices contro Prilex Malware

Per difendersi da un POS malware modulare come Prilex, bisogna considerare una serie di contromisure in grado di tutelare sia gli esercenti, che i consumatori finali. Di seguito sono riportate alcune best practices fondamentali per prevenire e mitigare i rischi derivanti da questo tipo di infezione.

Esecuzione regolare degli aggiornamenti.
Tutti i terminali POS devono essere costantemente aggiornati con le ultime patch di sicurezza. Eliminare le vulnerabilità nelle versioni obsolete del software riduce drasticamente il rischio di compromissione da parte di Prilex.
Adozione di soluzioni di sicurezza avanzate e monitoraggio continuo.
L’adozione di software di protezione endpoint specifico per i POS e il monitoraggio delle attività in tempo reale consentono di individuare comportamenti anomali e bloccare eventuali minacce prima che possano causare danni.
Segmentare la propria rete e imporre restrizioni sugli accessi.
Isolare i terminali POS su una rete dedicata riduce il rischio di propagazione del malware. Con l’implementazione dei criteri di accesso basati sul principio del privilegio minimo, si impedisce l’interazione con i dispositivi di pagamento a utenti non autorizzati.
Controllo delle transazioni.
Monitorare le transazioni in tempo reale consente di identificare e bloccare attività sospette, come l’uso di carte virtuali fraudolente, o tentativi di manipolazione dei dati di pagamento.
Protezione dei dati sensibili e adozione di tecnologie di pagamento sicure.
L’implementazione di soluzioni come la tokenizzazione e la crittografia end-to-end previene l’intercettazione dei dati delle carte, mitigando l’impatto di eventuali attacchi.
Protezione fisica dei terminali POS.
Poiché Prilex può essere installato anche tramite accesso fisico ai dispositivi, è essenziale proteggere i terminali POS da manomissioni, implementando misure di sicurezza fisica e controlli sugli accessi.

In conclusione

La vicenda di Prilex ci insegna che se da un lato le transazioni elettroniche e l’accesso immediato ai servizi online hanno semplificato la nostra vita quotidiana, dall’altro hanno spalancato le porte allo sfruttamento illecito dei nostri dati sensibili. Come per ogni minaccia informatica, la miglior protezione parte da noi. Non basta affidarsi a soluzioni tecnologiche, se prima non siamo consapevoli dei pericoli che si celano all’interno dei nostri dispositivi.

Solo con una cultura di sicurezza informatica ben radicata e comportamenti responsabili potremo ridurre i rischi di essere vittime di attacchi. Non dobbiamo mai abbassare la guardia, perché in un mondo sempre più interconnesso, la nostra attenzione fa una grande differenza.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.