Эксперт «Лаборатории Касперского» Фабио Ассолини (Fabio Assolini) в своём блоге на Securelist.com рассказал о распространении банковского троянца «Чупакабра», написанного в Бразилии. По его посту можно понять, что есть вероятность его использования и в российской системе банкоматов.
Возможно, вы слышали о чупакабре — козьем вампире («чупа» в переводе с испанского означает «сосать», «кабра» — «коза»). Индейцы ещё в стародавние времена пугали этим чудищем своих детей. Современные «очевидцы» чупакабры (а красотка якобы засветилась в Пуерто Рико, Мексике и США) утверждают, что это нечто среднее между большой лысой собакой и хвостатым кенгуру с гребнем на спине из грубой шерсти, свалявшейся в форме шипов. Помимо этих прелестей, от существа воняет серой, словно явилось оно прямиком из преисподней. Учёные долгое время утверждали, что чупакабра — всего лишь плод воображения невежественного народа. Однако современные бразильские кардеры думают иначе. «Чупакабра» — слэнговое название скиммера, который идеально справляется с ролью информационного вампира, высасывая все данные с кредитки жертвы.
Бразильские СМИ часто демонстрируют видео с камер наблюдения, где незадачливые злоумышленники устанавливают своих чупакабр на банкоматы.
Такой нелёгкий и довольно рискованный путь кражи чужих денег заставил бразильских кардеров объединиться с местными кодерами, чтобы разработать более безопасный способ кражи чужой банковской информации. В результате на свет появился чупакабра-зловред.
Теперь вместо того, чтобы бегать ночами по банкоматам и устанавливать на них скиммеры, злоумышленники в тепле разрабатывают и устанавливают свой вредоносный код на Windows-компьютеры, работающие в банках. Вредоносы перехватывают информацию с коммутационных панелей во время транзакций, совершаемых в супермаркетах, заправках, в общем, везде, где при использовании банковской карточки приходится вводить пин-код.
Впервые троян «Чупакабра» (он же Trojan-Spy.Win32.SPSniffer) был замечен в декабре 2010 года в Бразилии. Сейчас он существует в четырех вариациях (A, B, C и D), и его стоимость для злоумышленника на чёрном рынке составляет $5000. Атаки с использованием «Чупакабры» расширяют свою географию, выходя за пределы Бразилии — так, уже были зарегистрированы подобные случаи в США.
Конечно, PIN-клавиатуры снабжены функциями обеспечения безопасности, к примеру, функцией стирания введённого пользователем пин-кода в случае регистрации устройством попыток его перехватить. Вводимый пин-код мгновенно кодируется (чаще всего используется симметричный блочный шифр), что существенно затрудняет перехват пина.
Но существует проблема: эти устройства связаны с компьютером через USB- или последовательный порт, использующий софт для электронных платежей. Старые коммутационные панели, используемые в Бразилии, как раз и входят в группу риска, поскольку они не шифруют личную информацию пользователя, содержащуюся на чипе кредитки. К ней относятся номер карты, срок её действия, служебный код и контрольное число — всё, что поможет злоумышленнику клонировать карту и потратить чужие деньги.
Вредоносная программа устанавливает простой сниффер USB- либо последовательных портов, обычно специально «адаптированные» версии Eltima и TVicPort, перехватывая данные между панелью и компьютером. Первые версии «Чупакабры» устанавливали DLL, которая отслеживала и крала трафик со всех устройств, подключённых к любому COM-порту.
Сейчас вредоносное ПО устанавливает драйвер TVicCommSpy для USB-трафика.
Информация обычно отсылается мошенникам по e-mail. Для подтверждения «безопасной» пересылки украденных данных, чупакабра имеет в своем арсенале специальную криптографическую симметричную систему с Unicode-ключом интересного названия.
Сейчас в Бразилии ведётся активная работа по замене старых PIN-клавиатур на новые с целью не допустить краж личной информации владельцев банковских карточек.