Kaspersky Lab Media Alert Virus Chupa Cabra

ALERTA DE SEGURANÇA
Vírus “chupa cabra”: ataques contra dispositivos de
pagamento
Um elaborado esquema de roubo de dados de cartões de crédito em
caixas automáticas foi detectado no Brasil. Temendo a disseminação do
fenómeno, nomeadamente a sua possível chegada a Portugal, a
Kaspersky Lab alerta instituições bancárias e emissoras de cartões de
crédito para as consequências destes ataques.
Provavelmente já ouviu falar sobre o “Chupa Cabra”, uma criatura mítica que
supostamente habita nalguns países da América Central. Recentemente,
chegou a ser anunciado que a tal criatura foi capturada em Porto Rico. Esta
história é bastante popular em certas partes do México e nos Estados Unidos,
especialmente entre as comunidades latino-americanas. O nome “chupa cabra”
também foi adoptado pelos carders brasileiros (criminosos especializados em
clonar cartões de crédito) para designar equipamentos instalados em caixas
electrónicas. Os criminosos usam este nome porque o “chupa cabra” instalado
nestas caixas “chupa” as informações do cartão de crédito da vítima.
É muito comum encontrar artigos na imprensa dando conta da detenção de
criminosos por instalarem dispositivos “chupa cabra” em caixas electrónicas de
bancos. Alguns desses criminosos, por incompetência ou falta de sorte, muitas
vezes são apanhados pelas câmaras de segurança do local ou até mesmo pela
polícia, como os que aparecem no vídeo abaixo:
Página 1
De facto, instalar um chupa cabra numa caixa multibanco é algo arriscado para
esses criminosos. E é exactamente por isso que os carders brasileiros se
uniram aos criadores de códigos maliciosos para desenvolver uma forma mais
fácil e segura de roubar informações e clonar cartões de créditos. Dessa
cooperação nasceu o “vírus chupa cabra”, que já atravessou o oceano e
chegou à Europa.
A ideia do vírus é simples: em vez de se arriscarem a instalar um chupa cabra
em caixas multibanco, os criminosos desenvolveram uma maneira de instalar
códigos maliciosos em computadores que usam Windows. Esses códigos
maliciosos têm a função de interceptar a comunicação de PIN Pads dispositivos do tipo que usamos para pagar contas em supermercados, postos
de gasolina, lugares onde se aceita cartões de crédito e débito.
O vírus chupa cabra foi inicialmente detectado em Dezembro de 2010, sendo
detectado como Trojan-Spy.Win32.SPSniffer e possui 4 variantes (A, B, C e
D). Geralmente este vírus é altamente especializado e distribuído junto de alvos
pré-estabelecidos. Infelizmente, este tipo de ataque está em franco crescimento
– já sabemos de casos confirmados nos Estados Unidos usando a mesma
técnica, e provavelmente pouco faltará para que se detectem casos similares
entre nós.
Claro que os PIN Pads são protegidos pelos fabricantes. Estes equipamentos
possuem recursos de hardware e software para assegurar que as chaves de
segurança sejam apagadas caso alguém tente abrir ou adulterar o dispositivo.
De facto, o PIN (a senha) é encriptado imediatamente ao ser digitado no teclado
do dispositivo, usando uma variedade de esquemas de encriptação e chaves
simétricas. Geralmente, os dispositivos usam um encoder triple DES, tornando
muito difícil descobrir qual foi o PIN inserido no dispositivo, no acto da
operação.
Mas havia um problema: estes dispositivos são sempre ligados a um
computador através de porta USB ou serial, que se comunica com um
software de TEF (Transferência electrónica de fundos). Assim, os PIN Pads
antigos e desactualizados, ainda utilizados entre nós, são vulneráveis a uma
falha de design: não encriptam alguns dados dos nossos cartões, como o
“Track 1”, enviando-os em modo “texto simples” para o computador.
Os dados “Track 1” de um cartão de crédito e os dados públicos do CHIP não
são encriptados no hardware desses PIN Pads. Esses dados geralmente são o
número de cartão de crédito, a data de expiração, o service code e o CVV (Card
Verification Value). Resumidamente, capturar esses dados é suficiente para
que um criminoso possa clonar o cartão e começar a gastar o dinheiro das
suas vítimas.
O malware instala um simples driver sniffer na porta serial ou USB, geralmente
adaptados de softwares comerciais legítimos, “chupando” toda a informação
que trafega entre o PIN Pad e o computador. As primeiras versões do vírus
“chupa cabra” também instalavam um controlo Active X e uma DLL maliciosa
Página 2
para roubar todas as informações transmitidas em todas as portas seriais do
computador, independentemente do dispositivo conectado.
As novas versões do “vírus chupa cabra” usavam o driver do TVicCommSpy
(software legítimo, usado por programadores) com o mesmo objectivo: capturar
os dados transmitidos via porta USB:
Adicionalmente, a DLL maliciosa também gravava todas as informações
digitadas no teclado, actuando como um keylogger. Todos os dados capturados
da Track 1 dos cartões de crédito e as informações dos computadores
infectados eram gravadas num ficheiro e enviadas para o criminoso, geralmente
através de e-mail.
Para se assegurar de que as informações roubadas seriam enviadas de modo
“seguro”, o vírus usava um sistema simétrico de encriptação, com um nome de
chave Unicode muito interessante: Robin Hood.
Página 3
Uma vez detectado o problema no Brasil, as companhias de cartão de crédito
passaram a instalar actualizações de firmware nos PIN Pads vulneráveis. Essa
actualização corrigiu o problema por completo.
Esta é a história real do Trojan-Spy.Win32.SPSniffer, o vírus chupa cabra, que
foi desenvolvido numa parceria entre os carders e criadores de vírus brasileiros.
Mas uma parceria entre a Kaspersky Lab e uma companhia líder no segmento
de cartões de crédito no Brasil conseguiu detectar, removendo o código
malicioso.
A Kaspersky Lab continua atenta ao fenómeno, estando disponível para
cooperar com as companhias de cartão de crédito, no sentido de recolher
ficheiros e outros dados que possam ajudar os nossos produtos e detectar e
remover estas ameaças.
Acerca da Kaspersky Lab:
Kaspersky Lab é a maior companhia antivírus da Europa. A Kaspersky Lab proporciona uma
das protecções mais imediatas do mundo contra ameaças à segurança informática, incluindo
vírus, spyware, crimeware, hackers, phishing e correio spam. A companhia está entre os quatro
primeiros fabricantes mundiais de soluções de segurança informática para utilizadores finais. Os
produtos e soluções da Kaspersky Lab proporcionam um dos tempos de resposta mais rápidos
e níveis de detecção mais elevados da indústria, tanto para utilizadores particulares, pequenas
e médias empresas e grandes corporações, como para ou ambiente informático móvel. A
tecnologia da Kaspersky® também está incluída em produtos e serviços de outros criadores de
soluções de segurança líderes da indústria informática. Leia mais na nossa página
www.kaspersky.pt. Para conhecer as últimas novidade é em antivírus, antispyware e outros
aspectos e tendências em segurança informática, visite www.securelist.com.
Para mais informações, contacte:
LANÇA PALAVRA
Ana Margarida Paula
Tel. +351 962543653
Fax +351 243372981
Email [email protected]
Kaspersky Lab Iberia
Vanessa González
Directora de Comunicação
Tel. +34 91 398 37 52
Email [email protected]
©
2011 Kaspersky Lab. A informação contida pode ser sujeita a mudanças sem aviso prévio. As únicas garantias dos
produtos e serviços da Kaspersky Lab estão definidas de agora em diante nas declarações de garantia expressa que
acompanham estes produtos e serviços. Nada do que aqui se expressa pode ser interpretado como garantia adicional.
A Kaspersky Lab não se responsabiliza por erros técnicos ou editoriais ou omissões cometidos no texto.
Página 4