Voc\u00ea pode ter notado que adoramos um bom roubo de ATM. N\u00e3o a ponto de nos tornarmos cibercriminosos, mas se algum hacker o faz, entramos em cena para investigar o caso. No SAS de 2017, principal evento de ciberseguran\u00e7a do ano, os especialistas da Kaspersky Lab Sergey Golovanov e Igor Soumenkov falaram de tr\u00eas casos interessantes.<\/p>\n
O caixa eletr\u00f4nico\u00a0esvaziou do nada. A equipe do banco n\u00e3o descobriu qualquer arquivo malicioso, impress\u00f5es digitais estranhas ou qualquer intera\u00e7\u00e3o f\u00edsica com a m\u00e1quina, nenhuma placa de circuito adicional ou outros dispositivos que pudessem ser usados para tomar o controle do terminal.<\/p>\n
O que encontraram foi um arquivo, kl.txt. Imaginaram que \u201ckl\u201d podia ter algo a ver conosco\u00a0\u2013 voc\u00ea sabe, a Kaspersky Lab \u2013 por isso, entraram em contato e come\u00e7amos a investigar o caso.<\/p>\n
Nosso ponto de partida foi o arquivo. Baseado nos conte\u00fados de registro, criamos uma regra YARA (ferramenta de pesquisa de amea\u00e7as). Basicamente, foi composta uma solicita\u00e7\u00e3o de busca por reposit\u00f3rios p\u00fablicos de malware. Ela foi usada para encontrar a amostra original do malware, e depois de um dia, chegaram os resultados: uma DLL chamada tv.dll, que at\u00e9 o momento tinha sido avistada duas vezes, na R\u00fassia e no Cazaquist\u00e3o. Era o suficiente para come\u00e7ar a desatar esse n\u00f3.<\/p>\n
Uma an\u00e1lise detalhada viabilizou a aplica\u00e7\u00e3o de engenharia reversa por parte de nossos pesquisadores, permitindo o entendimento de como o ataque era executado e at\u00e9 reproduzi-lo em um ATM com dinheiro falso no nosso laborat\u00f3rio de testes. Eis nossas descobertas.<\/p>\n
O ataque teve origem com os bandidos explorando uma vulnerabilidade conhecida e n\u00e3o corrigida, que permitiu a entrada no servidor do banco alvo. (J\u00e1 mencionamos que atualizar softwares \u00e9 fundamental? Esse caso demonstra o porqu\u00ea).<\/p>\n
Eles usaram c\u00f3digo fonte aberto e ferramentas p\u00fablicas para infectar o banco, mas o malware criado estava escondido na mem\u00f3ria do computador, n\u00e3o em qualquer disco r\u00edgido. N\u00e3o havia arquivos, de modo que o ataque era extremamente dif\u00edcil de ser detectado \u2013 basicamente invis\u00edvel para solu\u00e7\u00f5es de seguran\u00e7a. Ainda pior:\u00a0quase todos os rastros da amea\u00e7a somem depois que o sistema \u00e9 reiniciado.<\/p>\n
Os bandidos estabeleceram ent\u00e3o, uma conex\u00e3o com seu servidor de comando e controle, e isso os permitiu instalar remotamente softwares nos ATMs.<\/p>\n
\n#ATMITCH<\/a> criminals leave the nicest notes for #security<\/a> researchers\u2026 #banking<\/a> #malware<\/a> #ATM<\/a> #TheSAS2017<\/a> pic.twitter.com\/SDgOFBTxFT<\/a><\/p>\n
\u2014 Kaspersky (@kaspersky) April 3, 2017<\/a><\/p><\/blockquote>\n