Especialistas da Kaspersky Lab realizaram uma investigação de ataques realizados por cibercriminosos voltados para múltiplos caixas eletrônicos em todo o mundo. Durante a investigação, os analistas da companhia descobriram um pedaço de malware que infecta ATMs e permite que os crackers esvaziem e roubem, literalmente, milhões de dólares. A Interpol alertou os países vítimas deste golpe e está ajudando nas investigações.
Neste caso, os criminosos atuam apenas aos domingos e segundas-feiras à noite. Sem inserir um cartão, eles digitam uma combinação no teclado do caixa eletrônico, fazer uma ligação para obter mais instruções e outra série de números para ser inserida na máquina. Esta operação simples permite que o caixa eletrônico comece a expelir grandes quantidades de dinheiro, logo em seguida, "laranjas" sacam a quantia e fogem.
Os criminosos trabalham em duas etapas. Primeiro eles têm acesso físico aos ATMs onde inserem um CD de instalação do malware Tyupkin. Depois de reiniciar o sistema, o ATM já foi infectado e está sob controle dos crackers.
Depois de uma infecção bem sucedida, o malware é executado em um loop infinito, à espera de um comando. Para tornar mais difícil a detecção da fraude, o Tyupkin aceita comandos apenas em períodos específicos – nas noites de domingo e segunda-feira. Durante essas horas, os criminosos são capazes de roubar dinheiro de máquinas infectadas. Um vídeo obtido a partir de câmeras de segurança de caixas eletrônicos infectados mostrou a metodologia utilizada para a obtenção do dinheiro. Em cada ataque é gerada uma chave única, baseada em número aleatório, o que garante que qualquer transeunte se beneficie acidentalmente da fraude. O laranja é instruído por telefone por um membro da quadrilha que conhece o algoritmo e é capaz de gerar uma chave de sessão. Este segundo código de controle impede o saque de dinheiro que esses laranjas possam tentar fazer sem que estejam ligados à quadrilha.
Quando a chave é inserida corretamente, o caixa eletrônico mostra os detalhes da quantidade de dinheiro que está disponível em cada gaveta de caixa, convidando o operador a selecionar a gaveta que deseja esvaziar, em seguida, a máquina solta 40 notas em segundos.
O malware Tyupkin
A pedido de uma instituição financeira a equipe global de pesquisa e análises da Kaspersky Lab realizou uma investigação forense deste ataque cibernético criminoso. O malware identificado e nomeado pela Kaspersky Lab como Backdoor.MSIL.Tyupkin foi detectado até agora em caixas eletrônicos na América Latina, Europa e Ásia.
"Nos últimos anos temos visto um aumento significativo em ataques a caixas automáticos utilizando dispositivos de skimming e software malicioso. Agora enfrentamos a evolução natural desta ameaça já que os cibercriminosos passaram a atacar diretamente as instituições financeiras por meio de infecção de ATMs ou ataques diretos ao estilo APT contra os bancos. O malware Tyupkin é um exemplo de como os cibercriminosos aproveitam as fraquezas da infraestrutura de caixas eletrônicos", diz Vicente Diaz, analista de segurança da Kaspersky Lab. "Aconselhamos os bancos a rever a segurança de seus caixas eletrônicos e infraestrutura de rede e considerar investir em soluções de segurança de qualidade", acrescenta Diaz.
"Os criminosos constantemente identificam novas maneiras de evoluir seus métodos criminosos e é essencial a execução das leis nos países membros da Iinterpol e mantê-los informados sobre as tendências atuais e seu modus operandi", afirma Sanjay Virmani, diretor do Center for Digital Crime Interpol.