Primeiro malware desenvolvido para caixas eletrônicos, tanto o programa malicioso quanto o grupo de língua russa Skimer evoluíram após sete anos inativos e as vítimas não conseguem saber que foram roubadas
Primeiro malware desenvolvido para caixas eletrônicos, tanto o programa malicioso quanto o grupo de língua russa Skimer evoluíram após sete anos inativos e as vítimas não conseguem saber que foram roubadas.
Durante uma investigação, a equipe de especialistas da Kaspersky Lab decifrou o plano criminoso e descobriu uma versão aprimorada do malware Skimer. Desenvolvido por um grupo de língua russa em 2009, ele foi o primeiro programa para roubar dinheiro de caixas eletrônicos. Sete anos depois, tanto os cibercriminosos quanto o código evoluíram e se tornaram uma ameaça ainda maior para bancos e clientes de dez localidades ao redor do mundo, incluindo o Brasil.
A primeira ação do grupo é obter acesso ao sistema do caixa eletrônico fisicamente ou por meio da rede interna do banco. Após a instalação do Backdoor.Win32.Skimer no sistema, ele infecta o núcleo do caixa eletrônico: o executável responsável pelas interações da máquina com a infraestrutura bancária, processamento de valores e de cartões de crédito. Uma vez bem-sucedido, ele se mantém inativo até segunda ordem – uma forma inteligente de ocultar sua presença.
Os criminosos têm total controle dos caixas eletrônicos infectados, mas agem com cuidado e precisão. Em vez de instalar dispositivos skimmer (falso leitor de cartão sobre o dispositivo legítimo, também conhecidos como chupa-cabras) para desviar os dados dos cartões, esta nova versão transforma o caixa eletrônico todo em um coletor de dados e também pode ser usada para sacar o dinheiro disponível ou para clonar os cartões de créditos usados na máquina – ele consegue inclusive roubar o número das contas bancárias e as senhas das vítimas. É impossível perceber que o caixa eletrônico está infectado, pois neste caso não há alteração nenhuma no leitor de cartão da máquina.
Zumbis pacientes
Sacar todo o dinheiro entregará imediatamente a presença de uma anomalia no caixa eletrônico. Dessa forma, os criminosos do Skimmer passaram a agir com paciência e cuidadosamente para esconder seus rastros e ficar espionando os dados de cartões por muito tempo e com segurança: o malware pode operar nos caixas eletrônicos por vários meses sem qualquer atividade.
Para acioná-lo, o criminoso insere um cartão especial com registros específicos na fita magnética. Após ler os registros, os criminosos podem executar o comando inserido no código ou selecionar as ações por meio de um menu especial ativado pelo cartão. A interface gráfica do Skimer só será apresentada após o cartão ser retirado e o criminoso inserir a senha correta pelo teclado em menos de 60 segundos.
A Kaspersky Lab identificou 21 comandos diferentes, como por exemplo, sacar o dinheiro (40 notas de uma gaveta específica), coletar os dados dos cartões inseridos, se autoexcluir, executar uma atualização (a partir do código do malware atualizado incorporado no chip do cartão), entre outros. Além disso, ao coletar os dados do cartão, o Skimer pode salvar o arquivo com os dados coletados e senhas no chip do mesmo cartão ou pode imprimi-los pelos recibos do próprio caixa eletrônico.
Na maioria dos casos, os criminosos optam por aguardar os dados coletados para depois clonar os cartões. Eles usam esses clones em caixas eletrônicos não infectados e, naturalmente, sacam o dinheiro das contas dos clientes. Dessa maneira, os criminosos garantem que os caixas eletrônicos infectados não sejam descobertos.
Ladrões experientes
O Skimer foi amplamente distribuído entre 2010 e 2013 e seu surgimento causou um aumento drástico no número de ataques em caixas eletrônicos, sendo detectado pela Kaspersky Lab por meio de nove famílias de malware diferentes. Elas incluem a Tyupkin, descoberta em março de 2014, que acabou se tornando a mais popular e difundida. Mas agora o Backdoor.Win32.Skimer está em plena atividade. A Kaspersky Lab já identificou 49 modificações deste malware, sendo que 37 delas visam caixas eletrônicos de apenas um dos principais fabricantes. A versão mais recente foi descoberta no início de maio de 2016.
Por meio das amostras enviadas para a VirusTotal, observamos uma distribuição geográfica muito ampla dos caixas eletrônicos possivelmente infectados. As 20 amostras mais recentes da família Skimer vieram de mais de dez locais ao redor do mundo: Emirados Árabes Unidos, França, EUA, Rússia, Macau, China, Filipinas, Espanha, Alemanha, Geórgia, Polônia, Brasil e República Checa.
Como evitar este golpe
Para evitar esta ameaça, a Kaspersky Lab recomenda a realização periódica de verificações de ameaças com uma solução antimalware, acompanhadas da utilização de tecnologias de whitelisting (lista branca), uma política sólida de gerenciamento de dispositivos, criptografia completa do disco, proteção da BIOS dos caixas eletrônicos por meio de senha, permissão somente para a inicialização do HDD e isolamento da rede de caixas eletrônicos de qualquer outra rede interna do banco.
“Há mais uma preocupação importante a ser tomada neste caso específico. O Backdoor.Win32.Skimer verifica as informações (nove números específicos) inseridas no código da fita magnética do cartão para determinar se ele deve ser ativado. Nós descobrimos os números codificados utilizados pelo malware e os compartilhamos com todos os bancos, seja eles vítimas ou não. Com pose dessa informação, eles podem procurar proativamente em seus sistemas de processamento e detectar caixas eletrônicos infectados e os 'laranjas' usados. É possível inclusive usar os códigos para bloquear qualquer tentativa de ativação do malware”, explicou Sergey Golovanov, pesquisador-chefe de segurança da Kaspersky Lab.
Os produtos da Kaspersky Lab identificam esta ameaça como Backdoor.Win32.Skimer.
Para saber mais sobre as infecções de caixas eletrônicos e uma história sobre os problemas de segurança dos caixas eletrônicos modernos, acesse Securelist.com.
A investigação ainda está em andamento e o relatório completo foi compartilhado com um público exclusivo, composto por autoridades legais, equipes de resposta a emergências de computação, instituições financeiras e os clientes dos serviços de inteligência de ameaças da Kaspersky Lab.