Minutos antes do roubo de ฿ 12 milhões de Baht (moeda tailandesa) em bancos da Tailândia ser anunciado publicamente, uma nova amostra de malware foi adicionada ao site VirusTotal a partir de um endereço IP localizado na Tailândia. Pesquisadores da FireEye detectaram essa amostra de malware em ATM – tecnologia de comunicação de dados de alta velocidade que interliga redes para aplicações de dados – que utiliza interessantes técnicas nunca antes vistas.
Chamado de RIPPER, derivação do nome do projeto ATMRIPPER identificado na amostra, este malware foi desenvolvido para o roubo de caixas eletrônicos e bancos no país e segue a mesma estratégia já descoberta em outros malwares de ATM, como o controle do dispositivo do leitor de cartão para ler ou ejetar sob demanda; é capaz de desativar a interface de rede local; utiliza ferramenta de exclusão SDelete seguro para remover as provas forenses; e impõe um limite de 40 cédulas por retirada de forma consistente, que é o máximo permitido pelo fornecedor ATM.
O RIPPER se destaca por possuir novas capacidades, tais quais: seu alvo são três dos principais fornecedores de ATM em todo o mundo; o malware interage com o ATM por meio da inserção de um cartão fabricado com um chip EMV que serve como mecanismo de autenticação – embora esta técnica já tenha sido utilizada pela família Skimmer, é um mecanismo incomum.
Como funciona o RIPPER
Sua persistência é mantida de duas formas: como serviço autônomo disfarçado ou como um processo legítimo de ATM. A conectividade com o dispensador de cédulas, leitor de cartão e do Pinpad é realizada após a identificação dos dispositivos instalados recentemente, uma vez que o ATM dispõe de nomes exclusivos.
O RIPPER se certifica da disponibilidade dos equipamentos mediante consulta. No dispensador, por exemplo, checa o número e tipo de notas disponíveis. Numa segunda checagem, monitora o leitor de cartão. Uma vez inserido, ele valida o chip EMV para autenticação no ATM Malware. Ao identificar o chip malicioso, o RIPPER inicia um temporizador, o qual permite ao ladrão assumir o controle da máquina. As instruções surgem através do Pinpad e múltiplas opções são exibidas, incluindo métodos de distribuição de moeda.
Conclusão
Por meio de fontes abertas, a FireEye identificou uma família de malware que pode ter sido utilizada em roubos recentes e possui semelhanças com famílias já conhecidas. Esta compromete plataformas de vários fornecedores, aproveitando-se de tecnologia incomum para obter acesso a dispositivos físicos. Além de sofisticação técnica, ataques como os que afetaram ATMs na Tailândia requerem uma coordenação de ambos os universos – virtual e físico.
A investigação completa está disponível aqui.