SUCEFUL: Novo Malware para caixas eletrônicos (ATM)


SUCEFUL: Novo Malware para caixas eletrônicos (ATM)Um novo "malware" chamado SUCEFUL foi descoberto recentemente e é capaz de clonar cartões de débito e crédito em máquinas ATM (caixa eletrônico). Seu nome provê da mensagem mostrada pela praga quando a operação é feita com sucesso.

Este tipo de praga normalmente é instalado em ATM´s através de CD-ROM ou USB. Neste caso específico, a praga foi detectada num "upload" feito na Rússia para o site VirisTotal pelo pessoal da FireEye. Os especialistas acreditam que o "malware" ainda está em desenvolvimento, mas seu potencial já é considerado notável.

Seu funcionamento permite que o programa tenha acesso a tarjas magnéticas e CHIPS do cartão, desabilitando os sensores da ATM. Pode ainda travar o cartão da vítima e soltá-lo através de um PIN code digitado no teclado, permitindo ao fraudador ter acesso completo ao cartão - que, veja bem, não é clonado mas simplesmente furtado com todas as senhas inclusas.

O "malware" se comunica com o hardware ATM através do protocolo XFS, um padrão cliente/servidor adotado por milhares de dispositivos da indústria para a área financeira, como nos ATM´s e sistemas de pagamento/reembolso.

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Mascote do Suporte Ninja
Se gostou da nossa iniciativa comente, curta ou compartilhe! Esse estímulo é muito importante para a nossa equipe e reflete diretamente na possibilidade de trazermos mais conteúdos que você venha a gostar!


Continuando...

Inicialmente, o SUCEFUL parece ter sido desenhado para equipamentos NCR e DIEBOLD e uma vez instalado, o "malware" começa e enviar dados lidos do cartão, incluindo NOME DO CLIENTE, CONTA-CORRENTE/CONTA CRÉDITO, DATA DE EXPIRAÇÃO e PIN-CODE. E como citado acima, ele pode ainda travar o cartão da vítima dentro da ATM (num final de semana por exemplo), soltando-o com apenas um código digitado no teclado da máquina.

Veja uma palestra feita no Communication Congress  de 2013 alertando sobre a falha:

 

O Malware SUCEFUL é uma praga muito, muito perigosa sem dúvida, veja o processo de de infecção detalhado dos ATMs através do protocolo XFS conforme descrito pela equipe do fireeye.com :.

Establishing a connection with the XFS Manager

As shown in Figure 3, the first step before starting interacting with the ATMs peripheral devices is to establish a connection with the XFS Manager via WFSStartup API.

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Figure 3. Connecting with the XFS Manager via XFSStartUp API

Opening sessions with the peripheral devices

The next step is to open sessions with the peripheral devices via the Service Providers (XFS SPIs) through the XFS Manager by calling WFSOpen or WFSAsyncOpen APIs where the first parameter is the Logical Device Name.

In Figure 4, a session with Diebold Card Reader is being initiated where the logical device name is “DBD_MotoCardRdr”.

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Figure 4. Diebold Card Reader

In Figure 5, a session with NCR Card Reader is being initiated where the logical device name is “IDCardUnit1”:

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Figure 5. NCR Card Reader

In Figure 6, a session with the Sensors and Indicators Unit (SIU) is being initiated:

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Figure 6. Sensors and Indicators Unit

The SIU provides functions to operate port (indicators) categories including but not limited to:

  • Door Sensors: cabinet, safe, or vandal shield doors
  • Alarm Sensors: tamper, seismic, or heat sensors
  • Proximity Sensors

In Figure 7, a session with NCR PIN pad is being initiated where the device logical name is “Pinpad1”.

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Figure 7. Connecting with the ATM PIN pad

By reading information from the PIN pad, the crooks could interact with the ATM malware.

Interacting with the peripheral devices

Once a session has been opened, the APIs WFSExecute or WFSAsyncExecute can be used to request specific operations to the peripheral devices where the second parameter is the command to be executed.

Reading debit card track data

In Figure 8, the WFS_CMD_IDC_READ_RAW_DATA command instructs the card reader to read all the track data and chip if a card is inserted or wait to read it as soon as the card has been inserted or pulled through.

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Figure 8. WFS_CMD_IDC_READ_RAW_DATA Command

Track 1 & 2 contain information like cardholder’s name, account number, expiration date, encrypted PIN, etc.

Retain and/or Eject debit card

The WFS_CMD_IDC_RETAIN_CARD command in Figure 9 instructs the Card Reader to retain the card:

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Figure 9. WFS_CMD_IDC_RETAIN_CARD

In Figure 10, the WFS_CMD_IDC_EJECT_CARD command instructs the Card Reader to eject the card:

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Figure 10. WFS_CMD_IDC_EJECT_CARD

This RETAIN and EJECT commands suggest that the malware authors can retain debit cards inserted into the ATM and eject them whenever they want stealing the physical card from the victims.

Interact with the Malware via PIN pad

In Figure 11, the WFS_CMD_PIN_GET_DATA command is used to read the keystrokes entered by the cardholder (or attacker) in the PIN pad.

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Figure 11. WFS_CMD_PIN_GET_DATA

Once the input is read, a loop will run to identify the keys typed in the Pin pad, which can be Key0-9, Key-ENTER, Key-CANCEL or KEY-CLEAR. In Figure 12, the Key-0 and Key-1 are being checked:

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Figure 12. Pin pad Keys check

Disabling ATM Sensors

In Figure 13, the WFS_CMD_SIU_SET_PORTS command could be able to set or clear ATM output ports (indicators) in order to avoid triggering the alarms, some of the sensors that can be controlled are:

  • Turn on/off the Audible Alarm device
  • Turn on/off the Facial light
  • Turn on/off the Audio indicator
  • Turn on/off the Internal Heating device

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Figure 13. WFS_CMD_SIU_SET_PORTS

In Figure 14 the WFS_CMD_SIU_SET_AUXILIARY command is used to set the status of an Auxiliary indicator including but not limited to:

WFS_SIU_VOLUME: Set the value of the volume control
WF_SIU_REMOTE_STATUS_MONITOR: Set the value of the Remote Status Monitor
WFS_SIU_AUDIBLE_ALARM: Set the value of the Audible Alarm

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Figure 14. WFS_CMD_SIU_SET_AUXILIARY

DLL Hooking

Although DLL Hooking is not a novel technique, it is interesting to understand the reason this is being done inside an ATM. SUCEFUL is able to hook the WFSAsyncExecute API in order to control and monitor all the commands issued to the peripheral devices, this is done by replacing the first 6 bytes of the API Entry point with a classical push <malware_func>, ret instruction (see Figure 15) to redirect execution, as well as patching the RVA address in the Export Directory pointing to WFSAsyncExecute Entry point.

SUCEFUL: Novo Malware para caixas eletrônicos (ATM)

Figure 15. Hooking WFSAsyncExecute API

 

 

Fonte: fireeye.com e HackRead

Novo adware se auto instala e ameaça dispositivos Android

 

<


Curta Suporte Ninja no Facebook


Entre no Grupo do Suporte Ninja no Facebook:






O Suporte Ninja disponibiliza espaço no site para que qualquer pessoa que queira contribuir com nosso ideal de produzir, coletar e divulgar informação tentando disponibilizar de forma gratuita material complementar para uma melhor formação profissional em TI, buscamos uma maior conscientização sobre tecnologias sustentáveis além de fornecer dicas que possam otimizar a experiência online dos usuários, seja na produtividade ou na segurança da informação.


No Suporte Ninja procuramos nos manter em um ponto de vista neutro e buscamos respeitar a diversidade de opiniões, todas as informações acima são de responsabilidade do autor e suas fontes, e estão sujeitas a alterações sem aviso prévio.


Mascote do Suporte Ninja
Se gostou da nossa iniciativa comente, curta ou compartilhe! Esse estímulo é muito importante para a nossa equipe e reflete diretamente na possibilidade de trazermos maisconteúdos que você venha a gostar!

Esperamos que tenha sido útil...

Se encontrar algo errado com o site não esqueça que o Site é nosso... <br> Se você quiser perguntar ou sugerir algo para nossa equipe use este link! ou Clique aqui para enviar sua postagem:


Começe a testar Grátis as ferramentas em nuvem do Google
Teste o Google Apps For Work com os cupons do Suporte Ninja e garanta um desconto de $10 Dólares para comprar no Google For Work…

"AE3NNJ6KXTHJ6V" & "6W7NGXXAV7JNVC"


Ou use o  CUPON de desconto do Suporte Ninja T3HJ6JDJKCLRRQH e você vai ganhar um desconto de 20% no Google For Works 🙂


Quebrando criptografia através das Paredes

Quebrando criptografia através das Paredes

Quebrando criptografia através das Paredes Este artigo demonstra ao público em geral que existem formas de ataque que podem ser feitas aos algoritmos criptográficos que fogem do ...
Leia Mais
Windows 10 te espiona mesmo desabilitando a telemetria

Windows 10 te espiona mesmo desabilitando a telemetria

Há algum tempo atrás postei em nosso grupo do Linked-IN (Criptografia Brasil) vários artigos sobre o fato do Windows 10 espionar dados de usuário - e até Leia Mais
Microsoft disponibiliza aulas de programação de graça

Microsoft disponibiliza aulas de programação de graça

Microsoft disponibiliza cursos de programação de graça A Microsoft disponibilizou as aulas no site com todo o conteúdo das aulas de programação dos cursos oferecidos na Semana do ...
Leia Mais
Rússia quer banir o Windows para incentivar mercado de software local

Rússia quer banir o Windows para incentivar mercado de software local

Uma decisão bastante controversa, mas ao mesmo tempo totalmente esperada, pode acabar entrando em vigor na Rússia pelas mãos do consultor nacional para a internet German Klimenko. Em ...
Leia Mais
Como fazer uma limpeza profunda em sistemas Debian e derivados

Como fazer uma limpeza profunda em sistemas Debian e derivados

Muitos usuários do sistema operacional Linux e até Admins de distros voltadas para servidores acreditam que a manutenção do linux se baseia apenas em alguns apt-gets update e upgrades durante ...
Leia Mais
100 comandos importantes do Linux

100 comandos importantes do Linux

Resumo de 100 Comandos Importantes Linux Veja neste artigo uma lista dos comandos mais importantes do linux e uma breve explicação de cada um deles. Lista de ...
Leia Mais
ONU reabre inscrições para curso técnico gratuito em energias renováveis

ONU reabre inscrições para curso técnico gratuito em energias renováveis

ONU reabre inscrições para curso técnico gratuito em energias renováveis A formação permite que os alunos sejam capazes de desenvolver projetos de energia renovável. O curso ...
Leia Mais
Sua Smart TV pode estar risco de segurança

Sua Smart TV pode estar risco de segurança

As Smart-TV´s rodando o sistema operacional Android fornecem funcionalidades adicionais aos usuários, além de TVs normais, mas também criam um risco de segurança, conforme a Trend Micro revela. Leia Mais
Os melhores Apps de Smartphone para aprender programação

Os melhores Apps de Smartphone para aprender a programar

A partir de agora use o seu tempo livre no ônibus, faculdade ou ate mesmo em seu trabalho para aprender novas linguagens. Chega de conversa e vamos lá. Leia Mais
Os 2 Melhores Cursos gratuitos de Arduino

Os 2 Melhores Cursos gratuitos de Arduino

O Suporte Ninja encontrou dois ótimos cursos gratuitos de Arduino (O curso de Android do Laboratório de Garagem e o curso da Pictronics onde você aprende mais sobre eletrônica e ...
Leia Mais
74% dos internautas não sabem diferenciar arquivos maliciosos como iriam diferenciar uma VPN boa de uma Maliciosa?

74% dos internautas não sabem diferenciar arquivos maliciosos como iriam diferenciar uma VPN boa de uma Maliciosa?

74% dos internautas não sabem diferenciar arquivos maliciosos 74% dos internautas não sabem detectar arquivos potencialmente maliciosos de arquivos confiáveis, vamos explicar com calma a polemica das ...
Leia Mais
Caixas-Pretas de navios e aviões podem ser Hackeadas?

Caixas-Pretas de navios e aviões podem ser Hackeadas

As caixas-pretas utilizadas para registro de dados em navios e aviões possuem diversas vulnerabilidades que permitem um atacante modificar ou apagar os dados presentes nestes dispositivos Leia Mais
Conheça CIFRA EXTREMA: Um criptografador realmente seguro e 100% nacional

CIFRA EXTREMA: Um criptografador realmente seguro e 100% nacional

Conheça a alternativa brasileira do mundo da criptografia que esta dando um banho nos concorrentes internacionais, CIFRA EXTREMA criptografador realmente seguro e 100% nacional: Algoritmo 100% nacional ...
Leia Mais
Minicurso de Google Analytics com certificado Gratuito

Minicurso de Google Analytics com certificado Gratuito

Curso online com certificado 100% grátis: O guia completo do Google Analytics Princípios básicos e avançados para se medir e gerar resultados. Entenda a importância de conhecer e ...
Leia Mais
Curso-Gratuito-HTML5-1

Curso de HTML5 – Grátis, Completo e Com Certificado reconhecido pelo MEC

Curso de HTML5 – Grátis, Completo e Com Certificado reconhecido pelo MEC! Curso completo para quem quer aprender a criar sites utilizando as tecnologias de HTML5 + CSS3 ...
Leia Mais
Tablets com malware instalado de fábrica na Amazon e outras lojas...

Tablets com malware instalado de fábrica na Amazon e outras lojas...

Cheetah Mobile, uma empresa de segurança para dispositivos móveis, mostrou nesta semana que pelo menos 30 marcas diferentes de tablets com Android vendidos na Amazon e outras lojas ...
Leia Mais
Video Aula - Curso Completo de programação em C

Video Aula - Curso de Introdução a programação em C

Video Aula - Curso Introdução a programação em C: Se você conhece alguma coisa de programação, já deve ter ouvido falar na linguagem C. As principais características da ...
Leia Mais
Curso gratuito de Python para Profissionais de Segurança da Informação.

Curso gratuito de Python para Profissionais de Segurança da Informação.

Curso gratuito de Python para Profissionais de Segurança da Informação. Não é necessário saber Python a partir de um nível de completo conhecimento linguagem de programação. (Curso é ...
Leia Mais
Cursos Gratuitos de (HTML, C#, Java e Android) para iniciantes

Cursos Gratuitos de (HTML, C#, Java e Android) para iniciantes

Formação Programação para iniciantes (HTML, C#, Java e Android) gratuita. Você que está iniciando no mundo de desenvolvimento e não sabe qual área irá iniciar, o DevMedia desenvolveu uma ...
Leia Mais
Curso gratuito de C ++ e com certificado de Desenvolvimento Orientado a Objeto

Curso gratuito de C ++ e com certificado de Desenvolvimento Orientado a Objeto

O objetivo deste curso é proporcionar ao aluno conhecimentos, competências e habilidades no desenvolvimento de aplicações em C ++, Curso gratuito e com certificado de C ++ de ...
Leia Mais
Starbug afirma e prova: Biometria é falha

Starbug afirma e prova: Biometria é falha

A coisa soa meio maluca, mas em tratando-se de Starbug, eu não riria... Starbug é o pseudônimo de Jan Krissler, um camarada prá lá de excêntrico, mas que ...
Leia Mais

David B. Svaiter

David B Svaiter é um especilista em programação .NET e em criptografia, mantendo o grupo CRIPTOGRAFIA BRASIL no Linked-IN/Brasil. Sócio na Lynchesvaiter Ltda e sócio-diretor (SCP) de S.I. & Criptografia da Big Blue Services Ltda, atua na área de segurança, criptografia e programação de software/hardware desde 1985 usando seu Apple ][.

Você pode gostar...