• Malware Tyupkin: Mitigação de Riscos Relacionada à Manipulação de Caixas Eletrônicos

    Publicado em 22-10-2014 21:00
    0 Comentários Comentários
    No início deste ano de 2014, a pedido de uma instituição financeira, o Global Research da Kaspersky Lab e equipe de análise realizou uma investigação forense a partir de um ataque cibernético criminoso, que tinha como alvo uma multiplicidade de caixas eletrônicos na Europa Oriental. No decorrer desta investigação, foi possível descobrir a existência de uma amostra de malware. Esta amostra permitia que os atacantes pudessem esvaziar as gavetas de dinheiro do ATM através de um processo de manipulação direta. Na época em que a investigação foi realizada, o malware esteve fortemente ativo em mais de 50 caixas eletrônicos em instituições bancárias espalhadas por toda a Europa Oriental. Com base em apresentações ao VirusTotal, tudo levava a crer que o malware se espalhou para vários outros países, incluindo os Estados Unidos, a Índia e a China.

    Devido à natureza dos dispositivos em que este malware é executado, não há dados da Kaspersky Security Network para determinar a extensão das infecções. No entanto, com base em estatísticas recolhidas da VirusTotal, foi possível notar a presença de malware nos seguintes países:





    Backdoor.MSIL.Tyupkin

    Este novo malware, que foi detectado pela equipe de profissionais de segurança da Kaspersky Lab como Backdoor.MSIL.Tyupkin, afeta caixas eletrônicos de uma grande fabricante de ATM executando o Microsoft Windows de arquitetura de 32 bits. O malware utiliza várias técnicas furtivas para evitar a detecção. Antes de mais nada, ele é apenas ativo em um determinado momento da noite. Ele também usa uma chave com base em uma seed aleatória para cada sessão. Sem essa chave, ninguém pode interagir com o ATM infectado.

    Quando a chave é digitada corretamente, o malware exibe informações sobre a exata quantidade de dinheiro que está disponível em cada máquina e permite que um invasor com acesso físico ao caixa eletrônico, possa retirar 40 notas da máquina selecionada. Além do mais, a grande maioria das amostras analisadas foram compiladas em torno de março deste ano de 2014. No entanto, este ardiloso malware tem evoluído ao longo do tempo. Em sua última variante (versão .d) o malware implementa um sistema "anti-debug" e técnicas anti-emulação, e também desabilita o McAfee Solidcore do sistema infectado.

    Análise Sobre a Capacidade de Manipulação dos Criminosos

    De acordo com filmagens de câmeras de segurança no local dos caixas eletrônicos infectados, os atacantes foram capazes de manipular o dispositivo e instalar o malware através de um CD de boot. Dessa forma, os atacantes copiaram os arquivos a seguir para o ATM:

    C: \ Windows \ system32 \ ulssm.exe
    % ALLUSERSPROFILE% \ Start Menu \ Programs \ Startup \ AptraDebug.lnk


    Após algumas verificações do ambiente, o malware retira o arquivo .lnk e cria uma chave no Registro:

    [HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
    "AptraDebug" = "C: \ Windows \ system32 \ ulssm.exe"


    O malware então é capaz de interagir com ATM através da biblioteca padrão MSXFS.dll - Extensão para os Serviços Financeiros (XFS). Dessa forma, o malware é executado em um loop infinito à espera de um "input" do usuário. A fim de torná-lo mais difícil de detectar, Tyupkin aceita (por padrão) comandos apenas no domingo e na segunda-feira a noites. Sem inserir um cartão, eles digitam uma combinação no teclado do caixa eletrônico, fazendo uma ligação para obter mais instruções e outra série de números para ser inserido na máquina. Esta operação simples permite que o caixa eletrônico comece a liberar grandes quantidades de dinheiro, e logo em seguida, "laranjas" sacam a quantia e fogem.

    Assim, ele aceita os seguintes comandos:


    • XXXXXX - Mostra a janela principal.
    • XXXXXX - Auto apaga um arquivo em lotes.
    • XXXXXX - Aumenta o período de atividade de malware.
    • XXXXXX - Oculta a janela principal.



    Após cada comando, o operador deve pressionar "Enter" no pin pad da ATM. Além do mais, Tyupkin também usa chaves de sessão para evitar a interação com usuários aleatórios. Depois de digitar o comando "Mostrar a janela principal", o malware mostra a mensagem "ENTER SESSION KEY TO PROCEED!" usando uma seed aleatória para cada sessão. Dessa maneira, o operador malicioso precisa conhecer o algoritmo para gerar uma chave de sessão com base na seed que é exibida. Somente quando essa chave é introduzida com sucesso, é que é possível interagir com a ATM infectada.

    Depois disso, o malware exibe a seguinte mensagem:

    "CASH OPERATION PERMITTED. TO START DISPENSE OPERATION - ENTER CASSETTE NUMBER AND PRESS ENTER."


    Quando o operador escolhe o "cassete number", a ATM dispensa 40 notas a partir dele.

    "DISABLING LOCAL AREA NETWORK... PLEASE WAIT..."

    Vale ressaltar que não está claro o motivo pelo qual o malware desativa a rede local. Isto é provavelmente, feito para atrasar ou atrapalhar as investigações remotas.

    Considerações Executivas

    Ao longo dos últimos anos, tem sido possível observar um grande aumento nos ataques contra ATMs, usando dispositivos de skimming e software malicioso. A seguir, os principais relatos de skimmers hijacking financial data (sequestro de dados financeiros) em bancos ao redor do mundo, permite observar uma repressão policial global que levou a prisões e perseguição de criminosos cibernéticos. O sucesso do uso de skimmers para roubar secretamente dados de cartões de crédito e dados de cartão de débito, quando os clientes introduzem seus cartões em caixas eletrônicos situados em bancos ou postos de gasolina, é uma prática muito conhecida e tem levado a uma maior conscientização para que o público esteja atento - e venha a tomar precauções - quando se usa ATMs públicos.

    Agora, a equipe da Kaspersky está vendo a evolução natural desta ameaça, com cybercriminosos ascendendo na cadeia e assim, surge a necessidade de orientar as instituições financeiras diretamente em relação a essas investidas. Isto é feito através da infecção de caixas eletrônicos ou ataques diretos ao estilo APT contra o banco. O malware Tyupkin é um exemplo de atacantes que ascenderam no segmento em questão, desenvolvendo um malware sofisticado e perigoso, com a intenção de encontrar pontos fracos na infra-estrutura de uma ATM.


    Vulnerabilidades Precisam ser Corrigidas com Urgência

    Importante observar que o fato de que muitos caixas eletrônicos serem executados em sistemas operacionais com falhas de segurança conhecidas e ausência de soluções de segurança, é outro problema que precisa ser tratado com a máxima urgência. Sendo assim, as recomendações para os bancos é que passem a revisar a segurança física de seus ATMs e considerar investir, fortemente, em soluções de segurança de alta qualidade.

    Recomendações de Mitigação Contra Ações de Malware

    Recomendamos que as instituições financeiras e as empresas que operam caixas eletrônicos nas instalações, considerem a seguinte orientação de mitigação:


    • Revisão da segurança física de seus ATMs e consideração de investimentos em soluções de segurança de qualidade.
    • Alterar padrão de bloqueio "upper pool" e as chaves em todos os caixas eletrônicos. Evitar o uso de chaves mestras padrão fornecidas pelo fabricante.
    • Instalar e certificar-se de que o alarme de segurança do ATM funciona corretamente. Nesse contexto, observou-se que os cibercriminosos por trás do malware Tyupkin infectaram apenas os caixas eletrônicos que não tinham alarme de segurança instalado.
    • Para obter instruções sobre como verificar se as ATMs não estão atualmente infectadas em uma única etapa, por favor entrem em contato a partir de [email protected].
    • Para a verificação completa do sistema da ATM e excluir o backdoor, utilize Ferramenta de Remoção de Vírus da Kaspersky livre (você pode baixá-lo aqui).


    Orientações Gerais para os Operadores de ATM On-premise

    • Verifique se o ATM está em um ambiente aberto e bem iluminado, que é monitorado por câmeras de segurança visíveis. A ATM deveria ser fixada no chão com um dispositivo anti-lasso, que vai deter os criminosos.
    • Verifique regularmente o ATM por sinais de dispositivos de terceiros anexados (skimmers).
    • Esteja à procura de ataques que usam técnicas de engenharia social, por criminosos que podem ser disfarçados de inspetores ou alarmes de segurança, câmeras de segurança ou outros dispositivos em instalações.
    • Trate alarmes de intrusão a sério e passe a agir em conformidade, notificando as autoridades policiais sobre toda e qualquer violação potencial.
    • Considere o abastecimento do ATM com dinheiro suficiente para um único dia de atividade.
    • Para mais orientações, tanto para os comerciantes quanto para os usuários, visite http://www.link.co.uk/AboutLINK/site-owners/Pages/Security para-ATMs.aspx


    Vale ressaltar que um vídeo obtido a partir de câmeras de segurança de caixas eletrônicos infectados, mostrou de forma bastante sucinta, a metodologia utilizada para a obtenção do dinheiro. Em cada ataque é gerada uma chave única, baseada em número aleatório, o que garante que qualquer transeunte se beneficie acidentalmente da fraude. Dessa forma, o laranja é instruído por telefone por um membro da quadrilha que conhece o algoritmo e é capaz de gerar uma chave de sessão. Este segundo código de controle impede o saque de dinheiro que esses laranjas possam tentar fazer, sem que eles estejam ligados à quadrilha.


    Saiba Mais:

    [1] Secure List http://securelist.com/blog/research/...-with-malware/
    + Enviar Comentário