Malware que ataca caixas eletrônicos é comercializado em mercado DarkNet

Pesquisadores da empresa de cibersegurança Kaspersky Lab descobriram um malware que ataca caixas eletrônicos, disponibilizado para comercialização abertamente em mercado DarkNet. O Cutlet Maker conta com três componentes e possibilita o roubo de caixas eletrônicos por meio de acesso físico à máquina.

Segundo a empresa, um conjunto de ferramentas que potencialmente permite aos criminosos roubar milhões estava à venda por apenas US$ 5 mil e equipado com um manual do usuário passo a passo.

Ferramentas maliciosas para invadir caixas eletrônicos são conhecidas há muitos anos, mas descobertas mais recentes mostram que os criadores de malware estão investindo cada vez mais em recursos para disponibilizar seus “produtos” para criminosos que não conhecem muito bem a ciência da computação.

Neste caso, para iniciar o roubo, os criminosos precisam ter acesso direto ao interior do caixa eletrônico, de modo que possam conectar um dispositivo USB que contém o kit de ferramentas do software à porta correspondente para carregar o malware. Na primeira etapa, é instalado o Cutlet Maker. Como ele é protegido por senha, é utilizado o programa c0decalc instalado em outro dispositivo, como um laptop ou tablet. Isso funciona como um tipo de proteção de “direitos autorais” instalada pelos desenvolvedores do Cutlet Maker para evitar que outros criminosos o utilizem gratuitamente. Depois que o código é gerado, os criminosos o inserem na interface do Cutlet Maker para iniciar o processo de retirada do dinheiro.

A descoberta

A empresa explica que, mo início deste ano, um parceiro da Kaspersky Lab forneceu a um dos pesquisadores uma amostra maliciosa desconhecida, supostamente criada para infectar computadores que funcionavam em caixas eletrônicos. Os pesquisadores ficaram curiosos em saber se esse malware ou algo relacionado a ele estava disponível para compra nos fóruns clandestinos. A busca pelos artefatos do malware foi bem-sucedida: um anúncio que descrevia uma linhagem de malware para caixas eletrônicos em um ponto conhecido do DarkNet – o AlphaBay – correspondeu à pesquisa e revelou que a amostra original pertencia a um kit de malware comercial completo, criado para roubar caixas eletrônicos.

O malware está à venda desde 27 de março, mas os pesquisadores descobriram que a primeira amostra conhecida, apareceu nos radares da comunidade de segurança em junho de 2016. Naquela época, ele foi enviado a um serviço público de verificação múltipla da Ucrânia, mas também ocorreram envios posteriores de outros países.

Kit de ferrametnas

De acordo com a pesquisa, o kit de ferramentas do malware consiste nos seguintes elementos:

• Software Cutlet Maker, que atua como módulo principal, responsável pela comunicação com o distribuidor do caixa eletrônico.

• Programa c0decalc, criado para gerar uma senha para executar o aplicativo Cutlet Maker e protegê-lo contra o uso não autorizado.

• Aplicativo Stimulator, que poupa o tempo dos criminosos, identificando o status atual dos contêineres de dinheiro dos caixas eletrônicos. Ao instalar o aplicativo, o invasor recebe informações precisas sobre a moeda, o valor e o número de notas em cada contêiner e, assim, pode escolher aquele que contém o maior valor, em vez de sacar o dinheiro aleatoriamente de cada um deles.