HomeTecnologiaCibersegurançaJackpot ATM: Cutlet Maker, novo ATM-hacking kit, identificado pela Kaspersky Lab

Jackpot ATM: Cutlet Maker, novo ATM-hacking kit, identificado pela Kaspersky Lab

Investigadores da Kaspersky Lab descobriram um malware que ataca ATMs e que está a ser abertamente comercializado nos mercados da DarkNet
 

  • Cutlet Maker é composto por três componentes e permite fazer jackpot no ATM se o hacker conseguir aceder fisicamente à máquina
  • Kit de ferramentas, com potencial para permitir aos hackers roubar milhões, foi posto à venda por apenas cerca de 4.000 euros, já equipado com um manual de utilizadores

 

ATMs continuam a ser alvos lucrativos para hackers que têm vários métodos para extrair o máximo de lucro dos mesmos. Enquanto alguns usam métodos fisicamente destrutivos, como ferramentas de corte de metal, outros escolhem infeções de malware que lhes permitem manipular as máquinas a partir de dentro. Apesar de as ferramentas maliciosas para hacking de ATMs serem conhecidas há vários anos, as mais recentes descobertas demonstram que os criadores de malware investem cada vez mais recursos para disponibilizar os seus “produtos” aos hackers que não estão familiarizados com a ciência computacional.

No início deste ano, um parceiro da Kaspersky Lab disponibilizou aos nossos investigadores uma amostra maliciosa anteriormente desconhecida, criada, presumivelmente, para infetar os computadores que operam dentro de ATMs. Os investigadores ficaram curiosos para saber se este malware, ou algo semelhante, estava disponível para compra em fóruns clandestinos. Uma subsequente pesquisa aos artefactos singulares do malware demonstrou-se bem-sucedida: um anúncio que descrevia uma estirpe do malware disponível num local conhecido da DarkNet – a AlphaBay – correspondeu à pesquisa e revelou que a amostra inicial pertencia a um kit comercial de malware criado para forçar jackpots em ATMs. Um anúncio público do vendedor do malware, encontrada pelos investigadores, continha não só a descrição do malware e instruções sobre como o obter, mas também um guia detalhado passo-a-passo sobre como usar o kit do malware em ataques, com instruções e vídeos tutoriais.

De acordo com a investigação, a ferramenta consiste em três elementos:

  • Software Cutlet Maker, que funciona como o módulo principal responsável por comunicar com ATM.
  • Programa c0decalc, desenvolvido para gerar uma palavra-passe de forma a correr e proteger a aplicação Cutlet Maker de utilizadores não autorizados.
  • Aplicação Simuladora, que poupa tempo aos hackers ao identificar o estado atual de ATMs. Ao instalar a app, ao hacker recebe a informação exata da moeda, valor e número de notas em cada ATM, para que escolham aquela que contém o maior valor, em vez de levantarem dinheiro em cada uma.

 

Para dar início ao roubo, os hackers precisam de ter acesso direto ao interior de ATMs de forma a aceder à porta USB que será utilizada para carregar o malware. Se for bem-sucedido, o hacker insere um dispositivo USB onde está o kit do software. O primeiro passo é instalar o Cutlet Maker; uma vez que este é protegido por palavra-passe, o hacker terá de usar um programa c0decalc, instalado noutro dispositivo como um tablet ou um computador – esta é uma espécie de proteção “copyright” instalada pelos autores do Cutlet Maker de forma a prevenir outros hackers de o usarem gratuitamente. Após a criação do código, basta inseri-lo no interface do Cutler Maker para dar início ao processo de remoção do dinheiro.

O Cutlet Maker tem estado à venda desde 27 de março de 2017 no entanto, como os investigadores descobriram, amostras mais antigas surgiram nos radares das comunidades de segurança em junho de 2016. Na altura, estas foram submetidas a um serviço de multi-scanner público, na Ucrânia e, mais tarde, testes a amostras submetidas por outros países também foram realizados. Não é claro se o malware foi utilizado em ataques reais, no entanto, as instruções que acompanham o kit contêm vídeos apresentados pelo autor como provas da eficiência do malware na vida real.

O responsável pelo malware ainda é desconhecido. Acredita-se que os potenciais vendedores do kit não sejam falantes não-nativos de inglês devido à língua, gramática e erros estilísticos.

“O Cutlet Maker quase não requer qualquer conhecimento avançado ou competências informáticas profissionais do hacker, transformando o hacking de ATMs de uma ciberoperação ofensiva sofisticada para mais uma forma ilegal de obter dinheiro que está disponível a praticamente qualquer pessoa que tenha alguns milhares de dólares para comprar o malware. Isto tem o potencial de se tornar numa perigosa ameaça às organizações financeiras. Mas o que é mais importante é que, enquanto opera, o Cutlet Maker interage com o software e hardware do ATM, não encontrando quase nenhuns obstáculos de segurança. Isto deve ser alterado para proteger ATMs”, diz Konstantin Zykov, Investigador de Segurança na Kaspersky Lab.

 

De forma a proteger ATMs de ataques que utilizam ferramentas maliciosas como o Cutlet Maker, para além de proporcionarem segurança física adicional, os especialistas da Kaspersky Lab aconselham as equipas de segurança das organizações financeiras a:

  • Implementar políticas restritas de recusa por padrão, de forma a prevenir que software não autorizado seja instalado no ATM.
  • Instalar mecanismos de controlo de dispositivos para restringir a conexão de quaisquer dispositivos não autorizados ao ATM.
  • Utilizar uma solução de segurança personalizada para proteger ATMs de ataques semelhantes ao malware Cutlet Maker.

 

Para uma melhor proteção de ATMs, a Kaspersky Lab recomenda também a utilização de soluções de segurança adequadas como a Kaspersky Embedded Systems Security.

Os produtos da Kaspersky Lab detetam e bloqueiam com sucesso o malwareCutlet Maker.

Para saber mais sobre como funciona o Cutlet Maker, visite o blog em Securelist.com.

Esta análise dá continuidade à investigação da Kaspersky Lab aos malwares financeiros que atacam ATMs. Para saber mais sobre a evolução dos ataques, leia o relatório da Kaspersky Lab sobre Futuros cenários de ataques contra sistemas de autentificação de ATMs.

doc icon 171030-Jackpot-ATM-Cutlet-Maker-novo-ATM-hacking-kit-identificado-pela-Kaspersky-Lab_PT.DOCX