Existe o malware escondido em seu ATM?

Multibanco
Diretor de Pesquisa de Vírus Sophos Vanja Svacjer postou um blog fascinante hoje sobre sua descoberta de malware que parece visar caixas eletrônicos da Diebold.

Você pode ler os detalhes completos no pós Vanja do blog , mas eu pensei que poderia ser uma boa idéia para explicar o que estamos falando aqui.

Em primeiro lugar, este malware entrou nossos laboratórios na última semana. Como a maioria dos malwares que vemos nos dias de hoje, não fizemos uma análise aprofundada do mesmo. Para ser honesto, não é necessário olhar profundamente para que a maioria dos malwares para desenvolver uma proteção confiável contra ele.

Foi só quando ouviu Vanja murmurações contra um amigo dele sobre ATM-infectando malwares que ele caçava através de amostras recentes apresentados aos nossos laboratórios para ver se ele poderia encontrar qualquer prova. Pesquisando através de amostras recebidas recentemente, Vanja deparei com um código que tinha sido entregue a nós e outras empresas de segurança através de um site anônimo vírus submissão. Claramente, porque estes serviços são em grande parte anônimos, não temos maneira de saber se era uma instituição em causa financeiro ou autoridade policial que carregou o código.

O código malicioso, que Sophos detecta como Troj / Skimer-A , continha referências a DLLs Diebold e parecia estar enviando instruções que possam auxiliar no roubo de PINs e informações de cartões inseridos na máquina.

Além disso, parece que o código malicioso é projetado para roçar o dinheiro de contas em moeda Russa, Ucraniana, e americano.

Skimer código

Agora, obviamente, não temos a nossa máquina ATM próprio para testar o código em diante, de modo que não foram capazes de confirmar 100% que ele funciona. No entanto, olhando para o código nos faz acreditar que poderia ser possível que um criminoso poderia entrar um cartão especialmente criado em um caixa eletrônico infectado, que, então, instruir o ATM para imprimir informações codificadas sobre cartões de crédito roubados e PINs para o que é normalmente o deslizamento recibo.

Essa informação pode então ser utilizada para fins criminosos, como a criação de cartões de crédito falsos.

Este é, naturalmente, um palpite, já que não pode provar isso no momento. No entanto, se for verdade o grande desafio seria para os criminosos para instalar o software malicioso em caixas eletrônicos, em primeiro lugar – não é como se eles têm uma unidade de disquete de fora da parede para o público a usar!

E é isso que nos faz pensar que, possivelmente, o código foi concebido para ser instalado por alguém que tenha acesso físico às máquinas ATM sem alarmes reconhecendo que estava sendo adulterado. Um ponto de entrada possível seria em algum lugar ao longo da linha de produção do dispositivo ATM.

Afinal, temos visto equipamento bancário adulterado ao longo da cadeia de produção de antes.