{"id":11973,"date":"2019-07-03T17:59:22","date_gmt":"2019-07-03T20:59:22","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11973"},"modified":"2019-11-22T07:02:41","modified_gmt":"2019-11-22T10:02:41","slug":"malware-atmjadi-bancos-brasil","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/malware-atmjadi-bancos-brasil\/11973\/","title":{"rendered":"Novo malware que ataca bancos deve chegar ao Brasil"},"content":{"rendered":"

A Kaspersky descobriu um novo malware, chamado ATMJaDi especializado em ataque a caixas eletr\u00f4nicos (ATMs). Registros de sua atividade j\u00e1 foram encontrados na Col\u00f4mbia. Ap\u00f3s an\u00e1lise, est\u00e1 claro que o objetivo do grupo de cibercriminoso \u00e9 sacar todo o dinheiro dispon\u00edvel nos caixas. Todas solu\u00e7\u00f5es da empresa j\u00e1 detectam e bloqueiam este golpe como Trojan.Java.Agent.rs<\/em>.
\nComo acontece com a maioria dos ataques deste tipo<\/a>, o grupo por tr\u00e1s do ATMJaDi precisa encontrar uma maneira de instalar o malware nos caixas, j\u00e1 que n\u00e3o pode ser controlado por meio do teclado ou da tela sens\u00edvel ao toque -pois sua execu\u00e7\u00e3o requer uma interface web para acessar o servidor HTTP e assim execut\u00e1-lo. Este detalhe sugere que o grupo deve ter invadido com sucesso a infraestrutura banc\u00e1ria para obter acesso \u00e0 rede no qual os caixas eletr\u00f4nicos est\u00e3o conectados.<\/p>\n

Uma vez instalado, o malware, na forma de arquivo Java com o nome \u201cINJX_PURE.jar\u201d, procura o processo que controla o ATM para control\u00e1-lo e assim infecta o dispositivo por meio de processos leg\u00edtimos. Para saber que a infec\u00e7\u00e3o foi bem-sucedida, o malware mostra a mensagem \u201cliberdade e gl\u00f3ria\u201d na tela do terminal \u2013 este texto pode aparecer em russo, portugu\u00eas, espanhol e chin\u00eas. A mensagem \u00e9 seguida pela palavra russa \u201c\u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439\u201d, que significa \u201cseparado\u201d. No entanto, outras mensagens nas strings (trechos de c\u00f3digo em formato texto) est\u00e3o em ingl\u00eas. \u201cAcreditamos que isso foi inclu\u00eddo para despistar a verdadeira origem do malware, porque pessoas nativas em russo n\u00e3o usariam esta palavra neste contexto\u201d, afirma Dmitry Bestuzhev, diretor da Equipe Global de An\u00e1lise e Pesquisa da Kaspersky Lab na Am\u00e9rica Latina.<\/p>\n

Outro detalhe que chamou a aten\u00e7\u00e3o dos especialistas da Kaspersky \u00e9 que o malware n\u00e3o usa sistemas padr\u00f5es, como XFS, JXFS ou CSC, normalmente encontradas nos caixas eletr\u00f4nicos. Em vez disso, processos de software espec\u00edfico que controla o ATM (desenvolvido em Java), o que torna sua atua\u00e7\u00e3o segmentada aos caixas que usam esse programa. Esta natureza direcionada indica que os criminosos estudaram detalhadamente o alvo antes de programar o malware.
\n
\n\u201cAs a\u00e7\u00f5es necess\u00e1rias para evitar um ataque direcionado como este s\u00e3o simples: basta que a rede dos caixas eletr\u00f4nicos esteja isolada da rede corporativa e que seu acesso seja restrito. Em segundo lugar \u00e9 essencial que uma institui\u00e7\u00e3o financeira tenha solu\u00e7\u00f5es avan\u00e7adas para monitorar poss\u00edveis atividades maliciosas, o que permitiria detectar a atividade do malware, mesmo este usando processos leg\u00edtimos do software de controle do ATM\u201d, analisa Bestuzhev. \u201cO fato de o malware estar em atividade na Col\u00f4mbia e j\u00e1 contar com a mensagem em espanhol e em portugu\u00eas \u00e9 um grande alerta para bancos brasileiros e latino-americanos. Tradicionalmente os cribercriminosos colombianos costumam vender seu malware para outros pa\u00edses.\u201d<\/p>\n

Para mais detalhes sobre o malware ATMJaDi, acesse o blogpost t\u00e9cnico em Securelist.com<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

V\u00edrus especializado infecta caixas eletr\u00f4nicos e j\u00e1 foi registrado na Col\u00f4mbia.<\/p>\n","protected":false},"author":61,"featured_media":11536,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[14],"tags":[218],"class_list":{"0":"post-11973","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-ameacas"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/malware-atmjadi-bancos-brasil\/11973\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ameacas\/","name":"amea\u00e7as"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11973","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/61"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=11973"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11973\/revisions"}],"predecessor-version":[{"id":12673,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11973\/revisions\/12673"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/11536"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=11973"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=11973"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=11973"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}