INTRODUCERE

Încă din anul 2013 malware-ul a fost folosit ca metodă eficientă de a progrma ATM-urile (Automated Teller Machines) să elibereze numerar în mod ilicit. De-a lungul timpului experții în securitate s-au mai confruntat cu alte variante precum Ploutus sau Tyupkin. Vineri 11 Septembrie 2015 însă, cercetătorii companiei de Securitate FireEye au identificat recent o nouă variantă de malware care vizează special deținătorii de card-uri bancare.

Utilizatorilor acestor dispozitive (denumite generic în limba română “bancomat”) le sunt blocate card-urile bancare în interiorul mașinii prin intermediul unui set de proceduri sofisticate. Card-ul nu poate fi extras din ATM, iar autorii malware-ului îl deblochează atunci când atacatorii îl pot ridica ulterior în condiții de siguranță, fără a fi observați.

DESCRIERE

Malware-ul, detectat ca Backdoor.ATM.Suceful sau SUCEFUL pare a fi creat pe data de 25 august 2015 și a fost ulterior analizat în cadrul Virus Total din Rusia. Este foarte posibil ca acesta să fie în continuare în faza de dezvoltare.

Noua variantă de malware interacționează cu un dispozitiv special (middleware), care este prezent în toate bancomatele: XFS Manager (eXtensions for Financial Services). Deoarece hardware-ul ATM-ului este diferit în funcție de producătorul mașinii, iar software-ul de asemenea, în funcție de banca ce operează serviciile, XSF Manager funcționează ca un liant de legătură între cele două componente, oferind API-uri pentru traducerea instrucțiunilor software-ului pentru semnalele electronice din hardware.

IMPACT

SUCEFUL are capacitatea de a citi orice card bancar de debit sau de credit, extrăgând informații de pe chip. Mai mult, el reușește să anuleze senzorii ATM-ului pentru a evita detecția, iar malware-ul poate fi controlat prin tastatura ATM-ului (PIN pad).

Practic, utilizatorului i se blochează card-ul în interiorul bancomat-ului, malware-ul având abilitatea de a reține sau a debloca respectivul card la cererea atacatorului. În momentul în care utilizatorul merge pentru a obține asistență pentru deblocare, atacatorul deblochează și sustrage acel card.

Până în acest moment nu se știe exact cum a ajuns acest malware să fie instalat pe ATM-uri. Alte variante de malware dedicate bancomatelor precum Plotous sau Padpin presupuneau ca atacatorii fie să deschidă partea superioară a ATM-ului pentru a insera un CD-ROM/USB pentru transferul malware-ului, fie să coopteze angajați cu acces la aceste mașini pentru a procesa instalarea lui.

REMEDIERE

Compania FireEye este momentan în plin proces de investigare a acestui caz, neexistând informații suplimentare despre cum au reușit atacatorii să instaleze un astfel de malware pe bancomate. În cazul în care se întâmplă să vă fie blocat card-ul în bancomat, CERT-RO recomandă căutarea numărului de contact al băncii pentru astfel de cazuri, de regulă vizibil pe bancomat. Nu părăsiți spațiul dedicat extragerii banilor în timp ce sunați pentru asistență.