2017-2-17
Intitulada de ALICE, esta nova família de malware opera através do jackpotting de ATM’s, ou seja, uma técnica para roubar elevadas quantias de dinheiro de uma caixa multibanco sem necessidade de usar cartões de crédito ou débito
A S21Sec é a responsável pela descoberta desta nova família de malware que pode ser concretizado manualmente e por norma aparece mascarado como substituto do legítimo Gestor de Tarefas do Windows (taskmgr.exe). Antes de lançar a GUI (interface gráfica do utilizador), este malware executa algumas verificações de sanidade para se certificar de que a ser executado num ambiente XFS (Extensions for Financial Services) apropriado, ou seja, um verdadeiro ATM, independentemente da marca e do modelo reais (o ALICE é um malware multifornecedor). Depois de executado o ALICE assume o controlo do ATM, exibindo uma GUI personalizada e solicitando um código de autorização para garantir o controlo da mula. Se a autorização for concedida, a ALICE usa a API XFS para interagir com o distribuidor ATM, permitindo que o cibercriminoso emita vários comandos de dispensa até que a gaveta de dinheiro seja esvaziada. Após a conclusão do "cash-out", a ALICE fornece um mecanismo de limpeza/desinstalação para remover quaisquer vestígios do ataque. O ATM jackpotting é, atualmente, uma das mais modernas táticas de cibercriminalidade, e embora não sendo nenhuma novidade e já existirem algumas famílias de malware conhecidas e bem-sucedidas que utilizam técnicas semelhantes, o malware ALICE destaca-se pela sua simplicidade. Não visa o roubo de dados sensíveis como números de cartão e códigos, os cibercriminosos interagem somente com o distribuidor ATM e é controlado unicamente a partir de um teclado. “Os ataques de malware são uma das maiores preocupações na fraude ATM. Os criminosos cibernéticos são extremamente ágeis e inovadores na produção de novos tipos de ataques lógicos ATM, uma vez que são muito menos arriscados e muito mais rentáveis do que os ataques físicos tradicionais, mas também são ajudados pelas muito pobres medidas de segurança atualmente implementadas em muitas redes ATM”, afirma Juan Ramón Aramendía, product marketing manager da S21sec. Para que um ATM esteja eficazmente protegido, é necessário que tenha um modelo de proteção abrangente que impeça a execução de software fraudulento (Application Whitelisting), bloqueie as tentativas de substituição de ficheiros legítimos (File Integrity Protection), evite a ligação de hardware não fidedigno e a manipulação de dados do disco rígido fora do sistema operacional (Full Disk Encryption). Além disso, é essencial monitorizar os aspetos de segurança das máquinas ATM, com uma visão centralizada da rede, enquanto se adiciona uma camada de controlo extra permitindo executar ações remotas personalizadas para investigar ou reagir a possíveis incidentes. No caso dos ataques ALICE, o HW Protection bloquearia a tentativa do atacante de conetar dispositivos USB ou teclado externos, enquanto a Full Disk Encryption evitaria a manipulação de dados do disco rígido fora do sistema operacional (por meio de inicialização externa de CD-ROM). Essas medidas de proteção abortariam então o ataque ainda na fase de infeção. “O malware em ATMs é claramente um tema quente e uma grande preocupação hoje em dia para o setor bancário, com o número de ataques crescendo rapidamente e visando todos os países e regiões, a aplicação de contramedidas de segurança robustas e eficientes torna-se uma necessidade básica e não negociável”, afirma Juan Ramón Aramendía. |