Kit de ferramentas amplia significativamente a gama de possíveis ataques direcionados
Pesquisadores da Kaspersky Lab descobriram um malware que ataca caixas eletrônicos comercializado abertamente no mercado DarkNet. O Cutlet Maker consiste em três componentes e possibilita o roubo de caixas eletrônicos por meio de acesso físico à máquina. Um conjunto de ferramentas que potencialmente permite aos criminosos roubar milhões estava à venda por apenas cinco mil dólares e equipado com um manual do usuário passo a passo.
Os caixas eletrônicos continuam sendo alvos lucrativos para fraudadores, que utilizam diversos métodos para obter o máximo de lucro. Enquanto alguns recorrem a métodos de destruição física utilizando ferramentas para cortar metais, outros optam pelas infecções por malware, que permitem manipular os distribuidores de dinheiro internamente. As ferramentas maliciosas para invadir caixas eletrônicos são conhecidas há muitos anos, mas descobertas mais recentes mostram que os criadores de malware estão investindo cada vez mais em recursos para disponibilizar seus “produtos” para criminosos que não conhecem muito bem a ciência da computação.
No início deste ano, um parceiro da Kaspersky Lab forneceu a um de nossos pesquisadores uma amostra maliciosa desconhecida, supostamente criada para infectar computadores que funcionavam em caixas eletrônicos. Os pesquisadores ficaram curiosos em saber se esse malware ou algo relacionado a ele estava disponível para compra nos fóruns clandestinos. A busca pelos artefatos do malware foi bem-sucedida: um anúncio que descrevia uma linhagem de malware para caixas eletrônicos em um ponto conhecido do DarkNet – o AlphaBay – correspondeu à pesquisa e revelou que a amostra original pertencia a um kit de malware comercial completo, criado para roubar caixas eletrônicos. Uma postagem pública do vendedor do malware continha não apenas a descrição do malware e instruções para obtê-lo, mas também fornecia um material passo a passo detalhado sobre como usar o kit de malware nos ataques, com instruções e tutoriais em vídeo.
De acordo com a pesquisa, o kit de ferramentas do malware consiste em três elementos:
- Software Cutlet Maker, que atua como módulo principal, responsável pela comunicação com o distribuidor do caixa eletrônico.
- Programa c0decalc, criado para gerar uma senha para executar o aplicativo Cutlet Maker e protegê-lo contra o uso não autorizado.
- Aplicativo Stimulator, que poupa o tempo dos criminosos, identificando o status atual dos contêineres de dinheiro dos caixas eletrônicos. Ao instalar o aplicativo, o invasor recebe informações precisas sobre a moeda, o valor e o número de notas em cada contêiner e, assim, pode escolher aquele que contém o maior valor, em vez de sacar o dinheiro aleatoriamente de cada um deles.
Para iniciar o roubo, os criminosos precisam ter acesso direto ao interior do caixa eletrônico, de modo que possam conectar um dispositivo USB que contém o kit de ferramentas do software à porta correspondente para carregar o malware. Na primeira etapa, é instalado o Cutlet Maker. Como ele é protegido por senha, é utilizado o programa c0decalc instalado em outro dispositivo, como um laptop ou tablet. Isso funciona como um tipo de proteção de “direitos autorais” instalada pelos desenvolvedores do Cutlet Maker para evitar que outros criminosos o utilizem gratuitamente. Depois que o código é gerado, os criminosos o inserem na interface do Cutlet Maker para iniciar o processo de retirada do dinheiro.
O Cutlet Maker está à venda desde 27 de março de 2017, mas os pesquisadores descobriram que a primeira amostra conhecida, apareceu nos radares da comunidade de segurança em junho de 2016. Naquela época, ele foi enviado a um serviço público de verificação múltipla da Ucrânia, mas também ocorreram envios posteriores de outros países. Não temos certeza de que o malware era realmente usado em ataques em campo. Porém, as orientações fornecidas no kit continham vídeos apresentados pelos autores como uma prova da eficiência do malware no mundo real.
Não se sabe quem está por trás desse malware. Em relação aos possíveis vendedores do kit de ferramentas, os erros de linguagem, gramática e estilo indicam que eles não são falantes nativos do inglês.
“O Cutlet Maker praticamente não exige que o criminoso tenha conhecimentos avançados ou habilidades profissionais em computação, transformando a invasão de caixas eletrônicos, que costumava ser uma sofisticada operação cibernética de ataque, em mais uma forma ilegal de ganhar dinheiro, disponível para praticamente qualquer pessoa que tenha milhares de dólares para comprar o produto. Isso pode se tornar uma ameaça perigosa às organizações financeiras. Mas, o mais importante é que, durante sua operação, o Cutlet Maker interage com o software e hardware dos caixas eletrônicos, que quase não têm barreiras de segurança. Deveríamos mudar isso, reforçando os computadores dos caixas”, diz Konstantin Zykov, pesquisador de segurança da Kaspersky Lab.
Para proteger os caixas eletrônicos de ataques que utilizam ferramentas maliciosas como o Cutlet Maker, além de oferecer segurança física confiável para os caixas eletrônicos, os especialistas da Kaspersky Lab recomendam às equipes de segurança das organizações financeiras:
- Implementar políticas rígidas de negação padrão para impedir que softwares não autorizados sejam executados nos caixas eletrônicos.
- Ativar mecanismos de controle de dispositivos para restringir a conexão de qualquer dispositivo não autorizado com os sistemas.
- Usar uma solução de segurança adaptada para proteger seus caixas eletrônicos de ataques semelhantes ao do malware Cutlet Maker.
Para proteger melhor os caixas eletrônicos, a Kaspersky Lab também recomenda o uso de uma solução de segurança apropriada, como o Kaspersky Embedded Systems Security.
Os produtos da Kaspersky Lab detectam e bloqueiam o malware Cutlet Maker.
Para saber mais sobre o modo de funcionamento do Cutlet Maker, leia a postagem recente no blog em Securelist.com.
Esta análise dá continuidade à pesquisa permanente da Kaspersky Lab sobre malware financeiro direcionado a caixas eletrônicos. Para saber mais sobre a evolução dos ataques dos caixas eletrônicos, acesse o relatório da Kaspersky Lab sobre cenários futuros de ataques contra sistemas de autenticação desses sistemas.
