• Tyupkin: Manipulação de Máquinas ATM com Malware

    No início do ano de 2014, a pedido de uma instituição financeira, o Global Research Team da Kaspersky Lab realizou uma investigação forense em relação a um ataque cybercriminoso que visava múltiplos ATMs em toda a Europa Oriental. Durante o curso desta investigação, os profissionais envolvidos descobriram a existência de uma amostra de malware que permitiu aos atacantes fazer uma investida muito bem sucedida nas ATMs, através de procedimentos de manipulação direta. Na época em que a investigação foi feita, o malware estava fortemente ativo em mais de 50 caixas eletrônicos de instituições bancárias na Europa Oriental. Com base em apresentações ao VirusTotal, tudo leva a crer que o malware se espalhou para vários outros países, incluindo os EUA, Índia e China. Devido à natureza dos dispositivos onde este malware é executado, não existem dados da KSN para determinar a extensão dessas infecções. No entanto, com base em estatísticas recolhidas pela VirusTotal, foram vistas apresentações de malware dos seguintes países:



    Este novo malware, que foi detectado e identificado pela equipe da Kaspersky Lab como Backdoor.MSIL.Tyupkin, afeta ATMs de uma grande fabricante, que executam o Microsoft Windows com sistemas de 32-bit. O malware utiliza várias técnicas furtivas para evitar a detecção. Antes de mais nada, vale dizer que ele está ativo apenas em um momento específico. Além disso, ele usa uma chave com base em um seed aleatório para cada sessão; sem essa chave, não existe a possibilidade de ninguém interagir com o ATM infectado. Portanto, auando a chave é digitada corretamente, o malware exibe informações sobre a importância em dinheiro que está disponível, e permite que um invasor com acesso físico ao caixa eletrônico consiga retirar 40 notas da ATM selecionada. Ressaltando que a grande maioria das amostras de malware que foram analisadas, passou por um processo de compilação em março de 2014. No entanto, este malware tem evoluído ao longo do tempo. Em sua última variante (versão .d), o malware implementa um sistema anti-debug e técnicas anti-emulação, também desabilitando o McAfee Solidcore do sistema infectado.


    Análise

    De acordo com o que foi registrado a partir de câmeras de segurança no local dos ATMs infectados, os atacantes foram capazes de manipular o dispositivo e instalar o malware através de um CD de boot. Assim, os atacantes copiaram os arquivos a seguir para o ATM:

    C:\Windows\system32\ulssm.exe %ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk

    Após algumas verificações do ambiente, o malware remove o arquivo .lnk e cria uma chave no registro:

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "AptraDebug" = "C:\Windows\system32\ulssm.exe"


    O malware então é capaz de interagir com o ATM através da biblioteca MSXFS.dll (padrão) - Extension for Financial Services (XFS). Depois, o malware é executado em um loop infinito à espera da entrada de algum usuário. A fim de tornar-se ainda mais difícil de ser detectado, Tyupkin aceita (por padrão), comandos apenas no domingo e nas segundas-feiras pela parte da noite. Ele aceita os seguintes comandos:


    • XXXXXX - Mostra a janela principal.
    • XXXXXX - Auto-delete com um "batch file".
    • XXXXXX - Aumenta o período de atividade de malware.
    • XXXXXX - Oculta a janela principal.


    Após cada comando, o operador deve pressionar "Enter" no pin pad do ATM. Além do mais, Tyupkin também usa chaves de sessão para evitar a interação com os usuários aleatórios. Depois de digitar o comando "Mostrar a janela principal", o malware mostrará a mensagem "ENTER SESSION KEY TO PROCEED!" usando um "seed" aleatório para cada sessão. O operador tem de saber que o algoritmo malicioso pode gerar uma chave de sessão com base no seed que é mostrado. Só quando esta chave for inserida com êxito, será possível interagir com a ATM infectada.

    Em seguida, o malware exibe a seguinte mensagem:

    CASH OPERATION PERMITTED. TO START DISPENSE OPERATION - ENTER CASSETTE NUMBER AND PRESS ENTER.



    Quando a chave de sessão digitada está incorreta, o malware desativa a rede local e mostra a seguinte mensagem:


    "DISABLING LOCAL AREA NETWORK... PLEASE WAIT..."

    Não está claro por qual motivo o malware desativa a rede local. Isto é provavelmente, feito para atrasar ou atrapalhar as investigações remotas.


    Conclusão

    Ao longo dos últimos anos, temos observado um grande aumento nos ataques às ATMs usando dispositivos de skimming e software malicioso. A seguir, os principais relatórios de "hijack skimmers" de dados financeiros em bancos ao redor do mundo, dá uma visibilidade da repressão policial global que levou a prisões de criminosos e de cybercriminosos. O sucesso do uso de skimmers para roubar secretamente dados de cartão de crédito e de débito, quando os clientes inserem seus cartões em caixas eletrônicos em bancos ou postos de gasolina, é uma técnica bastante conhecida e tem levado a uma maior sensibilização para que o público esteja atento - e possa tomar suas devidas precauções - quando se usa ATMs públicos.

    Agora está sendo possível ver a evolução natural desta ameaça, com cybercriminosos ganhando forças e orientando as instituições financeiras diretamente. Isto é feito através da infecção de ATMs, de maneira direta, ou a partir de ataques diretos ao estilo APT contra o banco. O malware Tyupkin é um exemplo de atacantes que galgaram degraus e encontraram muitos pontos fracos na infra-estrutura das ATM. O fato de que muitos caixas eletrônicos estejam sendo executados em sistemas operacionais com falhas de segurança conhecidas e ausência de soluções de segurança, é outro problema que precisa ser resolvido urgentemente. Portanto, a equipe da Kaspersky recomenda aos bancos que revisem, com a máxima urgência, a segurança física de seus ATMs e considerem investir em soluções de segurança de qualidade.


    Recomendações de Mitigação

    Em decorrência das descobertas e análises feitas a partir da mesma, a equipe de profissionais de segurança da Kaspersky recomenda, fortemente, que as instituições financeiras e as empresas que operam com ATMs, que considerem a seguinte orientação de mitigação:


    • Revisar a segurança física de seus ATMs e considerar investir em soluções de segurança da melhor qualidade possível.
    • Alterar padrão de bloqueio e as chaves em todos os caixas eletrônicos. Evitar o uso de chaves mestras padrão fornecidos pelo fabricante.
    • Instalar e se certificar de que o alarme de segurança do ATM está funcionando. Isso porque foi observado que os cybercriminosos por trás do malware Tyupkin infectaram apenas os caixas eletrônicos que não tinham alarme de segurança instalado.
    • Para obter instruções sobre como verificar se os caixas eletrônicos não estão atualmente infectados em uma única etapa, entrar em contato pelo endereço intelreports@kaspersky.com. Para a verificação completa do sistema do ATM e exclusão do backdoor, utilizar o Kaspersky Virus Removal Tool.



    Saiba Mais:

    [1] Secure List http://securelist.com/blog/research/...-with-malware/

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L