Uma equipa da Kaspersky Lab descobriu uma nova versão do malware Skimer. Desenvolvido por um grupo de língua russa em 2009, este foi o primeiro programa especialmente concebido para roubar dinheiro de caixas electrónicos. Sete anos depois, tanto os cibercriminosos como o código evoluíram e tornaram-se numa ameaça ainda maior para bancos e clientes de todo o mundo.
A primeira coisa que o grupo faz é obter acesso físico ao sistema do ATM ou à rede interna do banco. Após a instalação do Backdoor.Win32.SSkimer no sistema, infecta o núcleo do caixa electrónico: o executável responsável pelas interacções da máquina com a infraestrutura bancária, processamento de valores e de cartões de crédito. Uma vez bem-sucedido, mantém-se inactivo até segunda ordem.
É impossível perceber que o ATM está infectado, pois neste caso não há qualquer alteração visível no leitor de cartões da máquina. Sacar todo o dinheiro de uma máquina iria levantar suspeitas imediatas para a existência de uma anomalia. É por isso que os criminosos do Skimmer passaram a agir com paciência para esconder o seu rasto e continuar a espiar os dados de cartões por muito tempo e com segurança: o malware pode operar nos ATM durante vários meses sem qualquer actividade.
Para o accionar, o criminoso insere um cartão especial com registos específicos na fita magnética. Após ler os registos, os criminosos podem executar o comando inserido no código ou seleccionar as acções através de um menu especial activado pelo cartão. A interface gráfica do Skimer só será apresentada após o cartão ser retirado e o criminoso inserir a senha correta pelo teclado em menos de 60 segundos.
Na maioria dos casos, os criminosos optam por aguardar os dados recolhidos para depois clonar os cartões, usando esses clones em ATM não infectados, de onde sacam o dinheiro das contas dos clientes. Desta maneira, os criminosos garantem que os caixas eletrónicos infectados não são descobertos.
A Kaspersky Lab já identificou 49 modificações do malware Backdoor.Win32.Skimer, sendo que 37 delas visam caixas electrónicos de apenas um dos principais fabricantes. A versão mais recente foi descoberta no início de maio de 2016.
Através das amostras enviadas para a VirusTotal, foi observada uma distribuição geográfica muito ampla dos caixas electrónicos possivelmente infectados. As 20 amostras mais recentes da família Skimer vieram de mais de dez locais do mundo: Emirados Árabes Unidos, França, EUA, Rússia, Macau, China, Filipinas, Espanha, Alemanha, Geórgia, Polónia, Brasil e República Checa.
A investigação ainda está em curso e o relatório completo foi partilhado com um público composto por autoridades legais, equipas de resposta a emergências informáticas, instituições financeiras e clientes dos serviços de inteligência de ameaças da Kaspersky Lab.
Via Kaspersky Lab.
