Mais de 12 milhões de Bath (moeda tailandesa) foram furtados de bancos da Tailândia sem que um único tiro fosse disparado ou uma vida ameaçada: os criminosos utilizaram um vírus em caixas eletrônicos.
A quantia equivalente a 1.1 milhão de reais na cotação atual foi retirada das máquinas automáticas infectadas com um malware chamado RIPPER, que utiliza técnicas inéditas de contaminação.
O caso está sendo investigado pela empresa de segurança FireEye, que aponta que o malware foi desenvolvido especificamente para o roubo de caixas eletrônicos e bancos no país. Assim como similares no mercado, ele permite que o operador assuma o controle do dispositivo do leitor de cartão para ler ou ejetar sob demanda, é capaz de desativar a interface de rede local e utiliza ferramenta de exclusão SDelete seguro para remover as provas forenses e não deixar rastros.
Mas, de acordo com a FireEye, “o RIPPER se destaca por possuir novas capacidades, tais quais: seu alvo são três dos principais fornecedores de ATM em todo o mundo; o malware interage com o ATM por meio da inserção de um cartão fabricado com um chip EMV que serve como mecanismo de autenticação – embora esta técnica já tenha sido utilizada pela família Skimmer, é um mecanismo incomum”.
Antes de iniciar suas atividades, o RIPPER se certifica da disponibilidade dos componentes do caixa eletrônico. No dispensador, por exemplo, checa o número e tipo de notas disponíveis. Numa segunda checagem, monitora o leitor de cartão. Uma vez inserido, ele valida o chip EMV para autenticação. Ao identificar o chip malicioso, o RIPPER inicia um temporizador, o qual permite ao ladrão assumir o controle da máquina. As instruções surgem através do Pinpad e múltiplas opções são exibidas, incluindo métodos de distribuição de moeda.
A investigação completa da FireEye está disponível online, com mais detalhes técnicos do furto milionário.
