Malware infecta rede ATM e rouba ฿ 12 mi na Tailândia

Cibercrime no país asiático foi viabilizado por meio de novas técnicas de ataque

Compartilhar:

Minutos antes do roubo de ฿ 12 milhões de Baht (moeda tailandesa) em bancos da Tailândia ser anunciado publicamente, uma nova amostra de malware foi adicionada ao site VirusTotal a partir de um endereço IP localizado na Tailândia. Pesquisadores da FireEye detectaram essa amostra de malware em ATM – tecnologia de comunicação de dados de alta velocidade que interliga redes para aplicações de dados – que utiliza interessantes técnicas nunca antes vistas.

 

Chamado de RIPPER, derivação do nome do projeto ATMRIPPER identificado na amostra, este malware foi desenvolvido para o roubo de caixas eletrônicos e bancos no país e segue a mesma estratégia já descoberta em outros malwares de ATM, como o controle do dispositivo do leitor de cartão para ler ou ejetar sob demanda; é capaz de desativar a interface de rede local; utiliza ferramenta de exclusão SDelete seguro para remover as provas forenses; e impõe um limite de 40 cédulas por retirada de forma consistente, que é o máximo permitido pelo fornecedor ATM.

 

O RIPPER se destaca por possuir novas capacidades, tais quais: seu alvo são três dos principais fornecedores de ATM em todo o mundo; o malware interage com o ATM por meio da inserção de um cartão fabricado com um chip EMV que serve como mecanismo de autenticação – embora esta técnica já tenha sido utilizada pela família Skimmer, é um mecanismo incomum.

 

Como funciona o RIPPER

 

Sua persistência é mantida de duas formas: como serviço autônomo disfarçado ou como um processo legítimo de ATM. A conectividade com o dispensador de cédulas, leitor de cartão e do Pinpad é realizada após a identificação dos dispositivos instalados recentemente, uma vez que o ATM dispõe de nomes exclusivos.

 

O RIPPER se certifica da disponibilidade dos equipamentos mediante consulta. No dispensador, por exemplo, checa o número e tipo de notas disponíveis. Numa segunda checagem, monitora o leitor de cartão. Uma vez inserido, ele valida o chip EMV para autenticação no ATM Malware. Ao identificar o chip malicioso, o RIPPER inicia um temporizador, o qual permite ao ladrão assumir o controle da máquina. As instruções surgem através do Pinpad e múltiplas opções são exibidas, incluindo métodos de distribuição de moeda.

 

Conclusão

 

Por meio de fontes abertas, a FireEye identificou uma família de malware que pode ter sido utilizada em roubos recentes e possui semelhanças com famílias já conhecidas. Esta compromete plataformas de vários fornecedores, aproveitando-se de tecnologia incomum para obter acesso a dispositivos físicos. Além de sofisticação técnica, ataques como os que afetaram ATMs na Tailândia requerem uma coordenação de ambos os universos – virtual e físico.

 

A investigação completa está disponível aqui.

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365