A primeira coisa que o grupo faz é obter acesso físico ao sistema do ATM ou à rede interna do banco. Após a instalação do Backdoor.Win32.Skimer no sistema, infecta o núcleo do caixa eletrónico: o executável responsável pelas interações da máquina com a infraestrutura bancária, processamento de valores e de cartões de crédito. Uma vez bem-sucedido, mantém-se inativo até segunda ordem – uma forma inteligente de ocultar a sua presença.

 

Os criminosos têm total controlo sobre os ATM infetados, mas agem com cuidado e precisão. Em vez de instalar dispositivos skimmer (falso leitor de cartão sobre o dispositivo legítimo, também conhecidos como “chupa-cabras”) para desviar os dados dos cartões, esta nova versão transforma o caixa eletrónico todo num coletor de dados e também pode ser usada para sacar o dinheiro disponível ou para clonar os cartões de créditos usados na máquina – consegue inclusive roubar o número das contas bancárias e os códigos de acesso das vítimas. É impossível perceber que o ATM está infetado, pois neste caso não há qualquer alteração visível no leitor de cartões da máquina.

 

“Zombis” pacientes

 

Sacar todo o dinheiro de uma máquina iria levantar suspeitas imediatas para a existência de uma anomalia. É por isso que os criminosos do Skimmer passaram a agir com paciência e cuidadosamente para esconder o seu rasto e continuar a espiar os dados de cartões por muito tempo e com segurança: o malware pode operar nos ATM durante vários meses sem qualquer atividade.

 

Para o acionar, o criminoso insere um cartão especial com registos específicos na fita magnética. Após ler os registos, os criminosos podem executar o comando inserido no código ou selecionar as ações através de um menu especial ativado pelo cartão. A interface gráfica do Skimer só será apresentada após o cartão ser retirado e o criminoso inserir a senha correta pelo teclado em menos de 60 segundos

 

Na maioria dos casos, os criminosos optam por aguardar os dados recolhidos para depois clonar os cartões, usando esses clones em ATM não infetados, de onde sacam o dinheiro das contas dos clientes. Desta maneira, os criminosos garantem que os caixas eletrónicos infetados não são descobertos.

 

Ladrões experientes

 

O Skimer foi amplamente distribuído entre 2010 e 2013 e o seu surgimento causou um aumento drástico no número de ataques a caixas eletrónicos, sendo detetadas pela Kaspersky Lab nove famílias de malware diferentes, entre elas Tyupkin, descoberta em março de 2014, acabando por se tornar na mais popular e difundida. Mas agora o Backdoor.Win32.Skimer está em plena atividade. A Kaspersky Lab já identificou 49 modificações deste malware, sendo que 37 delas visam caixas eletrónicos de apenas um dos principais fabricantes. A versão mais recente foi descoberta no início de maio de 2016.

 

Através das amostras enviadas para a VirusTotal, foi observada uma distribuição geográfica muito ampla dos caixas eletrónicos possivelmente infetados. As 20 amostras mais recentes da família Skimer vieram de mais de dez locais do mundo: Emirados Árabes Unidos, França, EUA, Rússia, Macau, China, Filipinas, Espanha, Alemanha, Geórgia, Polônia, Brasil e República Checa.

youtube.com/watch?v=hOcFy02c7x0

Como evitar este golpe

 

Para evitar esta ameaça, a Kaspersky Lab recomenda a realização periódica de verificações de ameaças com uma solução antimalware, acompanhadas da utilização de tecnologias de whitelisting (lista branca), uma política sólida de gestão de dispositivos, encriptação completa do disco, proteção da BIOS dos caixas eletrónicos por senha, permissão apenas para a inicialização do HDD e isolamento da rede de caixas eletrónicos de qualquer outra rede interna do banco.

 

“Há mais uma preocupação importante a ter em conta neste caso específico. O Backdoor.Win32.Skimer verifica as informações (nove números específicos) inseridas no código da fita magnética do cartão para determinar se ele deve ser ativado. Nós descobrimos os números codificados utilizados pelo malware e partilhámos com todos os bancos, sejam vítimas ou não. Tendo essa informação, os bancos podem procurar proativamente nos seus sistemas de processamento e detetar caixas eletrónicos infetados. É possível inclusive usar os códigos para bloquear qualquer tentativa de ativação do malware”, explicou Sergey Golovanov, investigador-chefe de segurança da Kaspersky Lab.

 

Os produtos da Kaspersky Lab identificam esta ameaça como Backdoor.Win32.Skimer.

 

A investigação ainda está em curso e o relatório completo foi partilhado com um público exclusivo, composto por autoridades legais, equipas de resposta a emergências informáticas, instituições financeiras e clientes dos serviços de inteligência de ameaças da Kaspersky Lab.