Caixas eletrônicos se tranformam em foco das ações de criminosos

biometria-atmPrimeiro malware desenvolvido para caixas eletrônicos, tanto o programa malicioso quanto o grupo de língua russa Skimer evoluíram após sete anos inativos e as vítimas não conseguem saber que foram roubadas

Durante uma investigação, a equipe de especialistas da Kaspersky Lab decifrou o plano criminoso e descobriu uma versão aprimorada do malware Skimer. Desenvolvido por um grupo de língua russa em 2009, ele foi o primeiro programa para roubar dinheiro de caixas eletrônicos. Sete anos depois, tanto os cibercriminosos quanto o código evoluíram e se tornaram uma ameaça ainda maior para bancos e clientes de dez localidades ao redor do mundo, incluindo o Brasil.

A primeira ação do grupo é obter acesso ao sistema do caixa eletrônico fisicamente ou por meio da rede interna do banco. Após a instalação do Backdoor.Win32.Skimer no sistema, ele infecta o núcleo do caixa eletrônico: o executável responsável pelas interações da máquina com a infraestrutura bancária, processamento de valores e de cartões de crédito. Uma vez bem-sucedido, ele se mantém inativo até segunda ordem – uma forma inteligente de ocultar sua presença.

Os criminosos têm total controle dos caixas eletrônicos infectados, mas agem com cuidado e precisão. Em vez de instalar dispositivos skimmer (falso leitor de cartão sobre o dispositivo legítimo, também conhecidos como chupa-cabras) para desviar os dados dos cartões, esta nova versão transforma o caixa eletrônico todo em um coletor de dados e também pode ser usada para sacar o dinheiro disponível ou para clonar os cartões de créditos usados na máquina – ele consegue inclusive roubar o número das contas bancárias e as senhas das vítimas. É impossível perceber que o caixa eletrônico está infectado, pois neste caso não há alteração nenhuma no leitor de cartão da máquina.

Zumbis pacientes

Sacar todo o dinheiro entregará imediatamente a presença de uma anomalia no caixa eletrônico. Dessa forma, os criminosos do Skimmer passaram a agir com paciência e cuidadosamente para esconder seus rastros e ficar espionando os dados de cartões por muito tempo e com segurança: o malware pode operar nos caixas eletrônicos por vários meses sem qualquer atividade.

Para acioná-lo, o criminoso insere um cartão especial com registros específicos na fita magnética. Após ler os registros, os criminosos podem executar o comando inserido no código ou selecionar as ações por meio de um menu especial ativado pelo cartão. A interface gráfica do Skimer só será apresentada após o cartão ser retirado e o criminoso inserir a senha correta pelo teclado em menos de 60 segundos.

A Kaspersky Lab identificou 21 comandos diferentes, como por exemplo, sacar o dinheiro (40 notas de uma gaveta específica), coletar os dados dos cartões inseridos, se autoexcluir, executar uma atualização (a partir do código do malware atualizado incorporado no chip do cartão), entre outros. Além disso, ao coletar os dados do cartão, o Skimer pode salvar o arquivo com os dados coletados e senhas no chip do mesmo cartão ou pode imprimi-los pelos recibos do próprio caixa eletrônico.

Na maioria dos casos, os criminosos optam por aguardar os dados coletados para depois clonar os cartões. Eles usam esses clones em caixas eletrônicos não infectados e, naturalmente, sacam o dinheiro das contas dos clientes. Dessa maneira, os criminosos garantem que os caixas eletrônicos infectados não sejam descobertos.

Ladrões experientes

O Skimer foi amplamente distribuído entre 2010 e 2013 e seu surgimento causou um aumento drástico no número de ataques em caixas eletrônicos, sendo detectado pela Kaspersky Lab por meio de nove famílias de malware diferentes. Elas incluem a Tyupkin, descoberta em março de 2014, que acabou se tornando a mais popular e difundida. Mas agora o Backdoor.Win32.Skimer está em plena atividade. A Kaspersky Lab já identificou 49 modificações deste malware, sendo que 37 delas visam caixas eletrônicos de apenas um dos principais fabricantes. A versão mais recente foi descoberta no início de maio de 2016.

Por meio das amostras enviadas para a VirusTotal, observamos uma distribuição geográfica muito ampla dos caixas eletrônicos possivelmente infectados. As 20 amostras mais recentes da família Skimer vieram de mais de dez locais ao redor do mundo: Emirados Árabes Unidos, França, EUA, Rússia, Macau, China, Filipinas, Espanha, Alemanha, Geórgia, Polônia, Brasil e República Checa.

Como evitar este golpe

Para evitar esta ameaça, a Kaspersky Lab recomenda a realização periódica de verificações de ameaças com uma solução antimalware, acompanhadas da utilização de tecnologias de whitelisting (lista branca), uma política sólida de gerenciamento de dispositivos, criptografia completa do disco, proteção da BIOS dos caixas eletrônicos por meio de senha, permissão somente para a inicialização do HDD e isolamento da rede de caixas eletrônicos de qualquer outra rede interna do banco.

“Há mais uma preocupação importante a ser tomada neste caso específico. O Backdoor.Win32.Skimer verifica as informações (nove números específicos) inseridas no código da fita magnética do cartão para determinar se ele deve ser ativado. Nós descobrimos os números codificados utilizados pelo malware e os compartilhamos com todos os bancos, seja eles vítimas ou não. Com posse dessa informação, eles podem procurar proativamente em seus sistemas de processamento e detectar caixas eletrônicos infectados e os ‘laranjas’ usados. É possível inclusive usar os códigos para bloquear qualquer tentativa de ativação do malware”, explicou Sergey Golovanov, pesquisador-chefe de segurança da Kaspersky Lab.
Os produtos da Kaspersky Lab identificam esta ameaça como Backdoor.Win32.Skimer.

A investigação ainda está em andamento e o relatório completo foi compartilhado com um público exclusivo, composto por autoridades legais, equipes de resposta a emergências de computação, instituições financeiras e os clientes dos serviços de inteligência de ameaças da Kaspersky Lab.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa matéria.

Fonte: segs

Caixas eletrônicos são alvos fáceis de crackers

ATMCaixas automáticos ou ATMs sempre foram um dos principais alvos de criminosos. No passado, atacar um ATM incluía aparatos pesadas como maçaricos e explosivos. No entanto, com a aurora da Era Digital, tudo mudou. Os criminosos de hoje podem atingir o mesmo objetivo sem esses efeitos especiais.

Olga Kochetova, especialista em testes de infiltração da Kaspersky Lab, explicou os motivos pelos quais os caixas são tão vulneráveis, em sua palestra “Formas de roubar ATMs com e sem malware.”

1. Em primeiro lugar, ATMs são basicamente computadores. Eles consistem em um número de sistemas eletrônicos, incluindo controles industriais, porém sempre há um computador comum no núcleo do sistema.

2. Além disso, é bem provável que esse computador seja controlado por um Sistema operacional bem antigo como o Windows XP. Você provavelmente já sabe o que tem de errado nisso: o XP não recebe mais suporte da Microsoft, então qualquer vulnerabilidade encontrada depois que o suporte foi interrompido jamais será corrigida. E você pode ter certeza que existem MUITAS como essa.

3. É possível que existam diversos programas vulneráveis sendo executados em sistemas de ATMs. Desde flash players desatualizados com mais de 9000 erros conhecidos até ferramentas de administração remota e muito mais.

4. Fabricantes de ATMs tendem a acreditar que sempre estão operando em “condições normais” e nada pode dar errado. Desse modo, dificilmente existe qualquer controle de integridade de software, solução de antivírus ou autenticação por aplicativo que envie comandos para o distribuidor de notas.

5. Em contraste às unidades de depósito e entrega de dinheiro que estão sempre bem protegidas e trancadas, a parte do computador de um ATM é facilmente acessível. Seu envoltório tende a ser feito de plástico, ou de metal fino na melhor das hipóteses, além de trancado com uma fechadura simples demais para barrar criminosos. A lógica dos fabricantes é a seguinte: se não tem dinheiro nessa parte, por que se importar em como mantê-la?

6. Módulos de ATM são interconectados com interfaces padrão, como portas COM e USB. Às vezes essas interfaces são acessíveis de fora da cabine do ATM. Se não, basta lembrar do problema anterior.

7. Por natureza, ATMs tem de estar conectados – e sempre estão. Já que a Internet é o meio mais barato de comunicação nos dias de hoje, bancos a usam para conectar os caixas aos centros de processamento.

Considerando todos os problemas mencionados, existem muitas oportunidades para os criminosos. Por exemplo, eles podem criar um malware, instalá-lo no sistema do ATM e sacar dinheiro. Esses trojans aparecem regularmente. Por exemplo, há um ano descobrimos um chamado Tyupkin.

Outra forma é usar programas adicionais que podem ser conectados às portas USB dos caixas eletrônicos. Para provar sua ideia, Olga Kochetova e Alexey Osipov, usaram um pequeno computador Raspberry Pi, equipado com adaptador Wi-Fi e bateria.

Um ataque por meio da Internet pode ser ainda mais perigoso. Criminosos podem estabe-lecer centros de processamentos de dados falsos, ou tomarem um verdadeiro. Nesse caso, criminosos podem roubar diversos ATMs sem precisarem ter acesso a seu hardware. Foi exatamente isso que os hackers do grupo Carbanak conseguiram fazer: eles obtiveram controle sobre PCs críticos nas redes de bancos e depois disso, foram capazes de enviar comandos diretos para os ATMs.

No fim, bancos e fabricantes de ATMs deviam ser mais atenciosos com a segurança das máquinas bancárias. Eles precisam reconsiderar tanto os softwares e medidas de segurança de hardware, produzir uma infraestrutura de rede segura e por aí vai. Também é importante que os bancos e fabricantes reajam rápido às ameaças e colaborem intensivamente com agências reguladoras da lei e empresas de segurança.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky blog

Malware à serviço de crackers possibilita saque em caixas eletrônicos

ATMGreenDispenser foi detectado no México, mas pode se espalhe para outros países da América Latina, segundo o Kaspersky Lab

Ataques cibernéticos por meio de malware direcionados a bancos, que permitem sacar dinheiros diretamente dos caixas eletrônicos (ATMs), continuam aumentando.

Há alguns dias, especialistas em segurança detectaram o malware GreenDispenser, que afeta os programas XFS (eXtensions for Financial Services – um middleware utilizado por serviços financeiros) presentes em vários caixas eletrônicos rodando Windows. Esta plataforma faz a interação entre o software e os periféricos de um caixa eletrônico, como o teclado do PIN ou o mecanismo que libera as notas de dinheiro.

Uma vez instalado, o caixa eletrônico exibirá um alerta ‘de equipamento fora de serviço’ na tela. Os clientes regulares não conseguem usar o ATM. Já o golpista que digitar o código correto não só consegue sacar todo o dinheiro do caixa eletrônico, como eliminar o malware usando um processo de remoção profunda, deixando pouco ou nenhum vestígio de como o ATM foi violado.

Embora a detecção deste malware tenha ocorrido apenas no México até o momento, é esperado que ele se espalhe para outros países da América Latina, confirmando a previsão do Kaspersky Lab de que, cada vez mais, os bancos serão o alvo preferencial dos ataques.

Fabio Assolini, analista sênior da Kaspersky Lab, alerta que os cibercriminosos latino-americanos estão constantemente criando novos códigos maliciosos para atacar os caixas eletrônicos e adverte que os bancos e instituições financeiras da região devem estar atentos a esta ameaça.

“Os criminosos latinos, especialmente no México e no Brasil, são organizados e operam geralmente com cibercriminosos de outros países visando infectar o maior número possível de caixas eletrônicos. Eles utilizam seus conhecimentos locais com técnicas de malware exportadas de países do leste europeu para criar ataques únicos”, explica Assolini.

O que agrava esta situação, segundo o especialista, é que a maioria dos ATMs roda sistemas operacionais antigos, fáceis de serem infectados, como o Windows XP e o Windows 2000.

Os especialistas da Kaspersky Lab recomendam sempre manter os sistemas dos pontos de venda e caixas eletrônicos atualizados e manter uma solução antivírus instalada já que o fator comum da maioria dos ataques é o sistema operacional. A tecnologia Default Deny presente no Kaspersky Antivirus bloqueia o comando de programas executáveis desconhecidos.

Ameaça crescente
Durante o primeiro trimestre de 2015, a Kaspersky Lab anunciou a descoberta do Carbanak, uma ameaça persistente avançada (APT – Advanced Persistent Threat) que gerou perdas financeiras que podem ultrapassar um bilhão de dólares e que iniciou a era dos ataques APT no mundo do cibercrime. Já em 2014, a Kaspersky Lab reportou a campanha fraudulenta Luuuk que teve como alvo clientes de um importante banco europeu. No período de apenas uma semana, os cibercriminosos roubaram mais de meio milhão de euros dos correntistas do banco. Em outubro do mesmo ano, a equipe GReAT da Kaspersky Lab descobriu também os ataques cibernético do malware Tyupkin que afetava caixas eletrônicos em todo o mundo e permitia que os golpistas sacar milhões de dólares das máquinas sem o uso do cartão de crédito.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Malware russo é nova ameaça aos caixas eletrônicos

atmsA empresa de segurança FireEye Labs publicou nos últimos dias informações sobre um novo malware russo que pode infectar diversos caixas eletrônicos (ATMs). Embora malwares desse tipo não sejam exatamente uma novidade, os pesquisadores estão impressionados pela sofisticação e compatibilidade do sistema.

Identificado como “Backdoor.ATM.Suceful”, o vírus foi especialmente desenhado para reter os cartões de vítimas em ATMs infectados e copiar tanto as informações do chip quanto da tarja magnética. Além disso, o software consegue interceptar o teclado do caixa para capturar a senha da vítima.

Os especialistas da FireEye Labs identificaram que o programa é compatível com o padrão “XFS Manager”, um standard utilizado por bancos e vários fabricantes de ATMs. Isso significa que o vírus pode funcionar em diversos caixas eletrônicos, aumentando significativamente o alcance dos criminosos.

Por sorte, o malware parece estar ainda em fase de desenvolvimento e é bastante recente. Ele entrou na base de dados do Virus Total no dia 25 de agosto e já foram identificadas duas variantes. Pelo menos por enquanto, não há relatos concretos de que o vírus tenha sido utilizado em grande escala.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Caixas eletrônicos viram alvo dos cibercriminosos

caixaeletronicoAtaques contra caixas eletrônicos cresceram este ano, com vários incidentes públicos e uma corrida das autoridades policiais a nível mundial para responder a esta crise. E para 2015, a tendência é que eles seguem sendo um alvo central dos cibercriminosos, de acordo com especialistas da Kaspersky Lab.

Como a maioria destes sistemas ainda utiliza o Windows XP, sistema operacional descontinuado pela Microsoft, e também sofrem de falta de segurança física, eles são incrivelmente vulneráveis por padrão.

“Em 2015, nós esperamos ver maior evolução em relação a estes ataques a caixas eletrônicos com o uso de técnicas maliciosos direcionados para ter acesso ao “cérebro” das máquinas. Em um próximo estágio veremos ataques comprometendo redes de bancos e usando este nível de acesso para manipular caixas eletrônicos em tempo real”, adverte Alexander Gostev, Especialista Chefe de Segurança da Equipe de Análises e Investigação Global da Kaspersky Lab.

Além do crime cibernético financeiro, o ano novo provavelmente trará mais preocupações em relação à privacidade, aflições sobre a segurança dos aparelhos da Apple e novos medos sobre os dispositivos conectados, para prevenir que hackers usem ferramentas como copiadoras de rede para penetrar redes corporativas. As vulnerabilidades, como se pode constatar, são uma realidade.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Malware Tyupkin é usado para assaltar caixas eletrônicos

ATMA empresa de segurança Kaspersky e a Interpol detectaram um novo malware que faz os caixas eletrônicos ejetarem notas. Conhecido como Tyupkin, o vírus mostra aos criminosos qual a quantia disponível no caixa eletrônico e, assim, pode entregar até 40 notas de uma vez nas mãos de cada integrante da quadrilha que aplica o código malicioso na máquina de serviços bancários e cédulas.

Para não ser detectado facilmente, o malware só funciona nas noites de domingo e segunda-feira. Um vídeo obtido por câmeras de segurança de um caixa eletrônico mostrou o método utilizado pela quadrilha. Sem a inserção de um cartão no caixa eletrônico, o criminoso trabalha em duas etapas.

Primeiro ele acessa o caixa eletrônico e insere um CD de boot para instalar o malware. Depois, ele reinicia o sistema para a máquina, já infectada, ficar sobre seu controle. O Tyupkin permite ao criminoso gerar códigos que vão mudando rotativamente, para que ele então possa repassar o algoritmo aos seus parceiros.

De acordo com Vicente Diaz, pesquisador de segurança da Kaspersky, o restante da quadrilha recebe as instruções por meio de um telefone. Quando o código, único para cada sessão, é digitado corretamente no caixa eletrônico, a máquina exibe detalhes de quanto dinheiro está disponível e assim ela libera até 40 notas por vez. Até agora, estima-se que 50 caixas foram vítimas do malware na América Latina, Leste Europeu e também na Ásia.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Techtudo

Os perigos dos ATM Skimmers

atmsOs ATM skimmers, isto é, aqueles aparelhos que são acoplados aos caixas bancários para roubar informações do seu cartão de crédito ou débito estão cada dia mais invisíveis. Estes dispositivos sempre foram desenhados para se misturar aos caixas de maneira quase imperceptível, mas sempre foi possível verificar a presença deles com um olho bem treinado ou um puxão no seu cartão de crédito. Ao que parece isso não é mais possível, uma firma de segurança recolheu diversos skimmers em ATMs por toda a Europa, e percebeu que muitos deles cabem perfeitamente dentro dos buracos onde se vai os cartões, tornando-os praticamente invisíveis.

Muitos desses dispositivos também vêm acompanhados de micro câmeras capazes de capturar as demais informações da vítima, que normalmente só percebem que tiveram suas contas bancárias comprometidas quando o dinheiro começa a escoar delas. Os bandidos as vezes nem precisam voltar nas máquinas, já que certos skimmers são programados para enviar as informações diretamente para um celular.

Sobre as precauções a serem tomadas

Antes que você se desespere e decida guardar o seu dinheiro embaixo do seu colchão existem certas informações que podem lhe ajudar a entender como se proteger ou o quanto efetivamente você está correndo risco. Aqui no Brasil, a maioria dos caixas eletrônicos (ou ATMs no resto do mundo) ficam dentro de bancos, o que torna a instalação desses skimmers muito mais difícil. Na Europa, quase todos os caixas ficam do lado de fora, no meio da rua, e por isso esse tipo de aparelho é mais frequente por lá.

Por esta razão, você deve se preocupar mais com caixas em lugares muito públicos e sem segurança constante, como aeroportos, rodoviárias e determinados postos de gasolina. Fora isso, poucos skimmers são capazes de roubar informações do seu chip, dessa maneira, os cartões com tarja magnética é que costumam a comprometer mais a segurança. Conforme o PIN vai se tornando o padrão mundial, será mais difícil ter os seus dados violados.

Por último, para evitar ser filmado por micro câmeras e coisas desse gênero, lembre-se sempre de digitar a sua senha utilizando a outra mão para ocultar o teclado. Este é um outro problema que tende a desaparecer com a adoção de verificação por digital, ou biometria, nos principais bancos do Brasil.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo