Kaspersky descobre nova versão do malware do grupo Skimer

A forma como esta ameaça opera é de fora para dentro, ou seja, a primeira coisa que o grupo faz é obter acesso físico ao sistema do ATM ou à rede interna do banco. Após a instalação do Backdoor.Win32.Skimer no sistema, infeta o núcleo do caixa eletrónico: o executável responsável pelas interações da máquina com a infraestrutura bancária, processamento de valores e de cartões de crédito. Uma vez bem-sucedido, mantém-se inativo até segunda ordem – uma forma inteligente de ocultar a sua presença.

Apos estar totalmente instalado, os criminosos têm total controlo sobre os ATM infetados, mas agem com cuidado e precisão. Em vez de instalarem dispositivos skimmer para desviar os dados dos cartões, esta nova versão transforma o caixa eletrónico todo num coletor de dados e também pode ser usada para retirar o dinheiro disponível ou para clonar os cartões utilizados na máquina – consegue inclusive roubar o número das contas bancárias e os códigos de acesso das vítimas. É impossível perceber que o ATM está infetado, pois neste caso não há qualquer alteração visível no leitor de cartões da máquina.

Retirar todo o dinheiro de um ATM levantaria demasiadas suspeitas. Nesse sentido, os criminosos do Skimer agem com cautela e tentam cuidadosamente esconder o seu rasto.

Para o acionar, o criminoso insere um cartão especial com registos específicos na fita magnética. Após ler os registos, os criminosos podem executar o comando inserido no código ou selecionar as ações através de um menu especial ativado pelo cartão. A interface gráfica do Skimer só será apresentada após o cartão ser retirado e o criminoso inserir a senha correta pelo teclado em menos de 60 segundos

Na maioria dos casos, os criminosos optam por aguardar os dados recolhidos para depois clonar os cartões, usando esses clones em ATM não infetados, de onde sacam o dinheiro das contas dos clientes. Desta maneira, os criminosos garantem que os caixas eletrónicos infetados não são descobertos.

Até hoje, a Kaspersky Lab já identificou 49 modificações deste malware, sendo que 37 delas visam caixas eletrónicos de apenas um dos principais fabricantes. A versão mais recente foi descoberta no início de maio de 2016.

Kaspersky aconselha utilizadores

Para evitarem esta ameaça, a Kaspersky aconselha as entidades a realizarem verificações de ameaças com soluções antimalware, acompanhadas da utilização de tecnologias de whitelisting (lista branca), uma política sólida de gestão de dispositivos, encriptação completa do disco, proteção da BIOS dos caixas eletrónicos por senha, permissão apenas para a inicialização do HDD e isolamento da rede de caixas eletrónicos de qualquer outra rede interna do banco.

“Há mais uma preocupação importante a ter em conta neste caso específico. O Backdoor.Win32.Skimer verifica as informações (nove números específicos) inseridas no código da fita magnética do cartão para determinar se ele deve ser ativado. Nós descobrimos os números codificados utilizados pelo malware e partilhámos com todos os bancos, sejam vítimas ou não. Tendo essa informação, os bancos podem procurar proativamente nos seus sistemas de processamento e detetar caixas eletrónicos infetados. É possível inclusive usar os códigos para bloquear qualquer tentativa de ativação do malware”, explica Sergey Golovanov, investigador-chefe de segurança da Kaspersky Lab.