Membrii grupului vorbitor de limba rusa Skimer forteaza bancomatele sa ii asiste in furtul banilor utilizatorilor.Descoperit in 2009, Skimer a fost primul program malware care viza bancomatele. Sapte ani mai tarziu, infractorii cibernetici folosesc din nou acest malware: dar, atat escrocii, cat si programul, au evoluat si, de aceasta data, reprezinta o amenintare mai mare pentru banci si clientii lor din toata lumea.
In timpul investigatiei unui incident, echipa de experti a Kaspersky Lab a descoperit urmele unei versiuni imbunatatite a programului malware Skimer pe unul dintre bancomatele bancii. Fusese implantat acolo si lasat inactiv pana cand infractorii cibernetici il pun in actiune – un mod inteligent de a-si ascunde urmele.
Grupul Skimer isi incepe activitatea obtinand acces la sistemul ATM-ului – fie in mod fizic, fie prin reteaua interna a bancii. Dupa ce instaleaza cu succes Backdoor.Win32.Skimer in sistem, acesta infecteaza partile critice ale bancomatului – programul responsabil de interactiunile aparatului cu infrastructura bancara, procesarea numerarului si a cardurilor.
Infractorii au, apoi, control total asupra bancomatelor infectate, dar actioneaza prudent si abil. In loc sa instaleze dispozitivele de tip skimmer (un fals cititor de card peste cititorul autentic) pentru a colecta datele de card, transforma intregul ATM intr-un skimmer. Avand ATM-ul infectat cu Backdoor.Win32.Skimer, infractorii pot retrage toate fondurile disponibile sau fura datele de pe cardurile folosite la bancomatul respectiv: inclusiv numarul de cont bancar al clientului si codul PIN. Utilizatorii nu au cum sa isi dea seama ca ATM-urile acelea sunt infectate. Nu au niciun indiciu ca ar fi compromise, spre deosebire de dispozitivele de tip skimmer, unde un utilizator versat poate descoperi daca acestea inlocuiesc adevaratul cititor de card al aparatului.
Zombie-ul adormit
Retragerile directe de bani din casetele de numerar vor fi descoperite imediat dupa prima incasare, in timp ce programele malware aflate in interiorul bancomatului pot copia datele de pe carduri o perioada indelungata. De aceea, infractorii din Skimer nu incep sa actioneze imediat – sunt foarte grijulii sa isi ascunda urmele: programul lor poate fi prezent pe un bancomat infectat timp de mai multe luni, fara sa aiba nicio activitate.
Pentru a-l activa, infractorii insereaza un anumit card, care are inscrise o serie de informatii pe banda magnetica. Dupa citirea acelor informatii, Skimer poate ori sa lanseze comanda “hardcoded” (in programare, folosirea unei denumiri explicite, in locul unui simbol pentru ceva ce este posbil sa se schimbe ulterior), ori sa dea comenzi printr-un meniu special, activat de card. Interfata grafica a programului malware Skimer apare pe display doar dupa ce cardul este retras si infractorul insereaza elementele de criptare corecte intr-un formular special, in mai putin de 60 de secunde.
Cu ajutorul acestui meniu, infractorul poate activa 21 de comenzi diferite, cum ar fi eliberarea de numerar (40 de bancnote din caseta specificata), colectarea informatiilor de pe cardurile inserate, auto-stergerea, actualizarea (din codul malware updatat, inscris pe chip-ul cardului), etc. De asemenea, atunci cand
colecteaza informatiile de pe card, programul Skimer poate salva fisierul cu toate datele pe chip-ul aceluiasi card sau poate tipari informatiile pe care le-a colectat de pe carduri, pe chitantele de la ATM.
In majoritatea cazurilor, infractorii aleg sa astepte si sa adune datele de pe cardurile afectate, pentru a crea copii ale acestor carduri mai tarziu. Cu aceste copii, merg la un ATM diferit, neinfectat, si retrag bani din conturile clientilor. Astfel, infractorii se asigura ca ATM-ul infectat nu va fi descoperit curand.
Un hot veteran
Programul malware Skimer a fost raspandit masiv intre 2010 si 2013. Aparitia sa a dus la cresterea dramatica a numarului de atacuri impotriva ATM-urilor, cu pana la noua familii diferite de malware identificate de Kaspersky Lab. Acestea includ familia Tyupkin, descoperita in luna martie 2014, care a avut cea mai larga raspandire. In prezent, se pare ca Backdoor.Win32.Skimer a revenit. Kaspersky Lab identifica acum 49 de modificari ale acestui program malware, cu 37 dintre acestea vizand bancomatele unuia dintre cei mai mari producatori. Cea mai recenta versiune a fost descoperita la inceputul lunii mai 2016.
Cu ajutorul mostrelor trimise la VirusTotal, putem vedea distributia geografica foarte larga a bancomatelor potential infectate. Cele mai recente 20 de mostre din familia Skimer au fost incarcate din peste 10 surse, aflate pe tot globul: Emiratele Arabe Unite, Franta, SUA, Rusia, Macao, China, Filipine, Spania, Germania, Georgia, Polonia, Brazilia, Cehia.
Contraofensiva tehnica
Pentru a contracara aceasta amenintare, Kaspersky Lab recomanda scanarea cu regularitate a sistemelor, impreuna cu folosirea tehnologiilor de “whitelisting”, o politica eficienta de management al dispozitivelor, criptarea totala a discului, protejarea BIOS-ului de la ATM, cu o parola, izolarea retelei ATM-ului de orice alta retea interna a bancii.
“Exista o alta masura importanta, ce se poate aplica in acest caz. Backdoor.Win32.Skimer verifica informatia (noua cifre) codata direct pe banda magnetica a cardului, pentru a identifica daca ar trebui sa se activeze. Am descoperit cifrele folosite de acest program malware si impartasim informatia, deschis, cu bancile. Dupa ce acestea obtin cifrele, le pot cauta, in mod proactiv, in cadrul sistemelor de procesare, pot detecta ATM-uri potential infectate si “carausi de bani” sau bloca tentativele atacatorilor de activare a malware-ului”, comenteaza Sergey Golovanov, Principal Security Researcher la Kaspersky Lab.
Produsele Kaspersky Lab detecteaza aceasta amenintare ca Backdoor.Win32.Skimer.
