Chupa Cabra atakuje w bankomatach
Kaspersky Lab informuje o szkodliwym programie "Chupa Cabra" pozwalającym cyberprzestępcom na klonowanie kart płatniczych. Pierwotnie zagrożenie to dotyczyło wyłącznie Brazylii, jednak niedawno eksperci zarejestrowali jego obecność w Stanach Zjednoczonych, co świadczy o tym, że Chupa Cabra rozszerza swój zasięg.
Chupa Cabra - dosłownie "wysysacz kóz" - to mityczne stworzenie zamieszkuje ponoć niektóre rejony Ameryk. Wieść niesie, że niedawno widziano je w Puerto Rico, Meksyku i w Stanach Zjednoczonych. Chupa Cabra to również stosowana przez brazylijskich cyberprzestępców finansowych nazwa nakładek do bankomatów (tzw. skimmerów) pozwalających na "wysysanie" informacji zapisanych na kartach płatniczych.
Brazylijskie media regularnie pokazują materiały filmowe, na których przestępcy instalują Chupa Cabra w bankomatach. Niektórzy z nich mają pecha (lub niewystarczające umiejętności) przez co zostają sfilmowani przez kamery przemysłowe i złapani przez policję.
Ponieważ instalowanie skimmerów stanowi ryzykowne przedsięwzięcie, brazylijscy cyberprzestępcy finansowi (zwani "carderami") połączyli siły z lokalnymi programistami, aby opracować łatwiejszy, bezpieczniejszy sposób kradzieży i klonowania informacji dotyczących kart kredytowych. Właśnie z takiego piekielnego sojuszu narodziło się oprogramowanie Chupa Cabra.
Szkodnik ten opiera się na prostej koncepcji: zamiast korzystać ze sprzętu podłączanego do bankomatu i ryzykować przyłapaniem na gorącym uczynku, cyberprzestępcy instalują szkodliwy program na komputerach z systemem Windows. Ich celem jest przechwycenie komunikacji z urządzeń do wprowadzania PIN-ów, spotykanych w supermarketach, na stacjach benzynowych oraz wszędzie tam, gdzie akceptowane są płatności kartą.
Szkodnik Chupa Cabra został wykryty po raz pierwszy w Brazylii jako Trojan-Spy.Win32.SPSniffer i znane są cztery jego warianty (A, B, C oraz D). Z założenia trojany te są wysoce wyspecjalizowane i atakują określone cele. Co ważne, ataki Chupa Cabry zwiększają swój zasięg - do tej pory znane są potwierdzone przypadki w Stanach Zjednoczonych i prawdopodobnie w innych miejscach na świecie.
Urządzenia do wprowadzania PIN-u są podłączane do komputera ze specjalnym oprogramowaniem poprzez USB lub port szeregowy (COM). Starsze wersje tych urządzeń, nadal często wykorzystywane, nie szyfrują w żaden sposób części danych odczytywanych z paska magnetycznego oraz chipu karty płatniczej. Zwykle dane te obejmują numer karty, datę utraty ważności, kod usługi oraz kod CVV - czyli prawie wszystkie informacje, jakie musi zdobyć oszust, aby móc wydawać pieniądze ofiary. Ponieważ dane te nie są w żaden sposób zaszyfrowane, wędrują one do komputera PC w postaci otwartej. Przechwycenie danych potrzebnych do "sklonowania" karty kredytowej jest w takim przypadku bardzo proste.
Działanie trojana Chupa Cabra jest dość proste - szkodnik przechwytuje wszystkie dane przesyłane między urządzeniem do wprowadzania PIN-ów a komputerem PC. Ponadto, trojan rejestruje wszystkie znaki wprowadzane z klawiatury zainfekowanego komputera. Wszystkie skradzione dane są zapisywane w pliku i wysyłane do cyberprzestępcy, zwykle za pośrednictwem poczty e-mail.
Gdy omawiany problem wyszedł na jaw, brazylijskie firmy zajmujące się kartami kredytowymi zaczęły masowo uaktualniać oprogramowanie systemowe w starych urządzeniach do wprowadzania PIN-ów, tak aby nie były podatne na ataki.
