Publicidade
Início Segurança Cases Malware infecta rede de ATMs e rouba bancos tailandeses

Malware infecta rede de ATMs e rouba bancos tailandeses

0
Publicidade

Minutos antes do roubo de $ 12 milhões de Baht (moeda tailandesa) em bancos da Tailândia ser anunciado publicamente, uma nova amostra de malware foi adicionada ao site VirusTotal a partir de um endereço IP localizado naquele país. Pesquisadores da FireEye, Inc detectaram essa amostra de malware em ATM – tecnologia de comunicação de dados de alta velocidade que interliga redes para aplicações de dados – que utiliza interessantes técnicas nunca antes vistas.

Chamado de RIPPER, derivação do nome do projeto ATMRIPPER identificado na amostra, este malware foi desenvolvido para o roubo de caixas eletrônicos e bancos no país e segue a mesma estratégia já descoberta em outros malwares de ATM, como o controle do dispositivo do leitor de cartão para ler ou ejetar sob demanda; é capaz de desativar a interface de rede local; utiliza ferramenta de exclusão SDelete seguro para remover as provas forenses; e impõe um limite de 40 cédulas por retirada de forma consistente, que é o máximo permitido pelo fornecedor ATM.

O RIPPER se destaca por possuir novas capacidades, tais quais: seu alvo são três dos principais fornecedores de ATM em todo o mundo; o malware interage com o ATM por meio da inserção de um cartão fabricado com um chip EMV que serve como mecanismo de autenticação – embora esta técnica já tenha sido utilizada pela família Skimmer, é um mecanismo incomum.

Como funciona o RIPPER

Sua persistência é mantida de duas formas: como serviço autônomo disfarçado ou como um processo legítimo de ATM. A conectividade com o dispensador de cédulas, leitor de cartão e do Pinpad é realizada após a identificação dos dispositivos instalados recentemente, uma vez que o ATM dispõe de nomes exclusivos.

O RIPPER se certifica da disponibilidade dos equipamentos mediante consulta. No dispensador, por exemplo, checa o número e tipo de notas disponíveis. Numa segunda checagem, monitora o leitor de cartão. Uma vez inserido, ele valida o chip EMV para autenticação no ATM Malware. Ao identificar o chip malicioso, o RIPPER inicia um temporizador, o qual permite ao ladrão assumir o controle da máquina. As instruções surgem através do Pinpad e múltiplas opções são exibidas, incluindo métodos de distribuição de moeda.

Conclusão

Por meio de fontes abertas, a FireEye identificou uma família de malware que pode ter sido utilizada em roubos recentes e possui semelhanças com famílias já conhecidas. Esta compromete plataformas de vários fornecedores, aproveitando-se de tecnologia incomum para obter acesso a dispositivos físicos. Além de sofisticação técnica, ataques como os que afetaram ATMs na Tailândia requerem uma coordenação de ambos os universos – virtual e físico.

SEM COMENTÁRIOS

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Sair da versão mobile