Especialista da Kaspersky alerta
bancos brasileiros e latinos para se anteciparem, pois o malware está
programado para falar espanhol e português e a Colombia é um tradicional
exportador de ataques na região
A Kaspersky descobriu um
novo malware, chamado ATMJaDi especializado em ataque a caixas eletrônicos
(ATMs) e registros de sua atividade também já foram encontrados na Colômbia.
Após breve análise, está claro que o objetivo do grupo de cibercriminoso é
sacar todo o dinheiro disponível nos caixas. Todas soluções da empresa já
detectam e bloqueiam este golpe com o veredito Trojan.Java.Agent.rs.
Como acontece com a maioria dos ataques deste tipo, o grupo por trás do ATMJaDi precisa encontrar uma maneira de instalar o malware nos caixas, já que ele não pode ser controlado por meio do teclado ou da tela sensível ao toque, pois sua execução requer uma interface web para acessar o servidor HTTP e assim executá-lo. Este detalhe sugere ainda que o grupo deve ter invadido com sucesso a infraestrutura bancária para obter acesso à rede no qual os caixas eletrônicos estão conectados.
Uma vez instalado, o malware, na forma do arquivo Java com o nome “INJX_PURE.jar”, procura o processo que controla o ATM para controlá-lo e assim infecta o dispositivo por meio de processos legítimos. Para saber que a infecção foi bem-sucedida, o malware mostra a mensagem “liberdade e glória” na tela do terminal – este texto pode aparecer em russo, português, espanhol e chinês. A mensagem é seguida pela palavra russa "отдельный”, que significa "separado”. No entanto, outras mensagens nas strings (trechos de código em formato texto) estão em inglês. “Acreditamos que isso foi incluído para despistar a verdadeira origem do malware, porque pessoas nativas em russo não usariam esta palavra neste contexto”, afirma Dmitry Bestuzhev, diretor da Equipe Global de Análise e Pesquisa da Kaspersky Lab na América Latina.
Outro detalhe que chamou a atenção dos especialistas da Kaspersky é que o malware não usa sistemas padrões, como XFS, JXFS ou CSC, que são comumente encontradas nos caixas eletrônicos. Em vez disso, ele usa processos de software específico que controla o ATM (desenvolvido em Java), o que torna sua atuação segmentada aos caixas que usam esse programa. Esta natureza direcionada indica que os criminosos estudaram detalhadamente o alvo antes de programar o malware.
“As ações necessárias para evitar um ataque direcionado como este são simples: basta que a rede dos caixas eletrônicos esteja isolada da rede corporativa e que seu acesso seja restrito, isso já impediria o golpe. Em segundo lugar é essencial que uma instituição financeira tenha soluções avançadas para monitorar possíveis atividades maliciosas, o que permitiria detectar a atividade do malware, mesmo este usando processos legítimos do software de controle do ATM”, analisa Bestuzhev. “O fato do malware estar em atividade na Colômbia e já contar com a mensagem em espanhol e em português são um grande alerta para bancos brasileiros e latino-americanos. Tradicionalmente os cribercriminosos colombianos costumam vender seu malware para outros países.”
Para mais detalhes sobre o malware ATMJaDi, acesse o blogpost técnico em Securelist.com
Como acontece com a maioria dos ataques deste tipo, o grupo por trás do ATMJaDi precisa encontrar uma maneira de instalar o malware nos caixas, já que ele não pode ser controlado por meio do teclado ou da tela sensível ao toque, pois sua execução requer uma interface web para acessar o servidor HTTP e assim executá-lo. Este detalhe sugere ainda que o grupo deve ter invadido com sucesso a infraestrutura bancária para obter acesso à rede no qual os caixas eletrônicos estão conectados.
Uma vez instalado, o malware, na forma do arquivo Java com o nome “INJX_PURE.jar”, procura o processo que controla o ATM para controlá-lo e assim infecta o dispositivo por meio de processos legítimos. Para saber que a infecção foi bem-sucedida, o malware mostra a mensagem “liberdade e glória” na tela do terminal – este texto pode aparecer em russo, português, espanhol e chinês. A mensagem é seguida pela palavra russa "отдельный”, que significa "separado”. No entanto, outras mensagens nas strings (trechos de código em formato texto) estão em inglês. “Acreditamos que isso foi incluído para despistar a verdadeira origem do malware, porque pessoas nativas em russo não usariam esta palavra neste contexto”, afirma Dmitry Bestuzhev, diretor da Equipe Global de Análise e Pesquisa da Kaspersky Lab na América Latina.
Outro detalhe que chamou a atenção dos especialistas da Kaspersky é que o malware não usa sistemas padrões, como XFS, JXFS ou CSC, que são comumente encontradas nos caixas eletrônicos. Em vez disso, ele usa processos de software específico que controla o ATM (desenvolvido em Java), o que torna sua atuação segmentada aos caixas que usam esse programa. Esta natureza direcionada indica que os criminosos estudaram detalhadamente o alvo antes de programar o malware.
“As ações necessárias para evitar um ataque direcionado como este são simples: basta que a rede dos caixas eletrônicos esteja isolada da rede corporativa e que seu acesso seja restrito, isso já impediria o golpe. Em segundo lugar é essencial que uma instituição financeira tenha soluções avançadas para monitorar possíveis atividades maliciosas, o que permitiria detectar a atividade do malware, mesmo este usando processos legítimos do software de controle do ATM”, analisa Bestuzhev. “O fato do malware estar em atividade na Colômbia e já contar com a mensagem em espanhol e em português são um grande alerta para bancos brasileiros e latino-americanos. Tradicionalmente os cribercriminosos colombianos costumam vender seu malware para outros países.”
Para mais detalhes sobre o malware ATMJaDi, acesse o blogpost técnico em Securelist.com
Kaspersky