Pesquisadores da Kaspersky Lab descobriram um malware que ataca caixas eletrônicos comercializado abertamente no mercado DarkNet. O Cutlet Maker consiste em três componentes e possibilita o roubo de caixas eletrônicos por meio de acesso físico à máquina. Com este conjunto de ferramentas – à venda por apenas cinco mil dólares e equipado com um manual do usuário passo a passo, criminosos podem roubar milhões.
Os caixas eletrônicos continuam sendo alvos lucrativos para fraudadores, que utilizam diversos métodos para obter o máximo de lucro. Enquanto alguns recorrem a métodos de destruição física utilizando ferramentas para cortar metais, outros optam pelas infecções por malware, que permitem manipular os distribuidores de dinheiro internamente. As ferramentas maliciosas para invadir caixas eletrônicos são conhecidas há muitos anos, mas descobertas mais recentes mostram que os criadores de malware estão investindo cada vez mais em recursos para disponibilizar seus "produtos" para criminosos que não conhecem muito bem a ciência da computação.
No início deste ano, um parceiro da Kaspersky Lab forneceu a um de nossos pesquisadores uma amostra maliciosa desconhecida, supostamente criada para infectar computadores que funcionavam em caixas eletrônicos. Os pesquisadores ficaram curiosos em saber se esse malware ou algo relacionado a ele estava disponível para compra nos fóruns clandestinos.
A busca pelos artefatos do malware foi bem-sucedida: um anúncio que descrevia uma linhagem de malware para caixas eletrônicos em um ponto conhecido do DarkNet – o AlphaBay – correspondeu à pesquisa e revelou que a amostra original pertencia a um kit de malware comercial completo, criado para roubar caixas eletrônicos. Uma postagem pública do vendedor do malware continha não apenas a descrição do malware e instruções para obtê-lo, mas também fornecia um material passo a passo detalhado sobre como usar o kit de malware nos ataques, com instruções e tutoriais em vídeo.
De acordo com a pesquisa, o kit de ferramentas do malware consiste em três elementos: Software Cutlet Maker, que atua como módulo principal, responsável pela comunicação com o distribuidor do caixa eletrônico; Programa c0decalc, criado para gerar uma senha para executar o aplicativo Cutlet Maker e protegê-lo contra o uso não autorizado; Aplicativo Stimulator, que poupa o tempo dos criminosos, identificando o status atual dos contêineres de dinheiro dos caixas eletrônicos.
Ao instalar o aplicativo, o invasor recebe informações precisas sobre a moeda, o valor e o número de notas em cada contêiner e, assim, pode escolher aquele que contém o maior valor, em vez de sacar o dinheiro aleatoriamente de cada um deles.
Para iniciar o roubo, os criminosos precisam ter acesso direto ao interior do caixa eletrônico, de modo que possam conectar um dispositivo USB que contém o kit de ferramentas do software à porta correspondente para carregar o malware. Na primeira etapa, é instalado o Cutlet Maker. Como ele é protegido por senha, é utilizado o programa c0decalc instalado em outro dispositivo, como um laptop ou tablet. Isso funciona como um tipo de proteção de "direitos autorais" instalada pelos desenvolvedores do Cutlet Maker para evitar que outros criminosos o utilizem gratuitamente. Depois que o código é gerado, os criminosos o inserem na interface do Cutlet Maker para iniciar o processo de retirada do dinheiro.
O Cutlet Maker está à venda desde 27 de março de 2017, mas os pesquisadores descobriram que a primeira amostra conhecida, apareceu nos radares da comunidade de segurança em junho de 2016. Naquela época, ele foi enviado a um serviço público de verificação múltipla da Ucrânia, mas também ocorreram envios posteriores de outros países. Não temos certeza de que o malware era realmente usado em ataques em campo. Porém, as orientações fornecidas no kit continham vídeos apresentados pelos autores como uma prova da eficiência do malware no mundo real.
