Pesquisadores de segurança publicaram um relatório sobre o modus operandi dos cibercriminosos que estão usando malware, uma chave do eBay e um Raspberry Pi para hackear caixas eletrônicos (ATMs, na sigla em inglês). Raspberry Pi é um computador de baixo custo que tem o tamanho de um cartão de crédito desenvolvido no Reino Unido pela Fundação Raspberry Pi. Para usá-lo, basta plugar um teclado e um mouse padrão a ele e conectar tudo isso a um monitor ou a uma televisão.
Os cibercriminosos exploram as vulnerabilidades no sistema operacional dos computadores responsáveis pelo funcionamento dos caixas eletrônicos. Como o sistema operacional dos computadores não é tão seguro e a maioria dos ATMs ainda utiliza o Windows 7 e o Windows XP, sistemas operacionais que estão desatualizados e deveriam ter sido retirados há muito tempo, os hackers compram pacotes de malware na dark web para explorar as vulnerabilidades desses sistemas e interagir com o software do ATM. Alguns dos pacotes de malware contêm software proprietário comprometido pertencente ao fabricante do ATM.
Antes de hackear o caixa eletrônico, os cibercriminosos marcam os caixas eletrônicos que serão violados em uma cidade, e aqueles com uso intenso são os alvos preferenciais. Normalmente, os ataques são planejados para ocorrer em dias como a Black Friday ou o Dia dos Namorados, que é quando os caixas eletrônicos estão carregados com até 20% a mais de dinheiro. Os caixas eletrônicos também estão carregados com dinheiro extra nas semanas que antecedem o Natal.
Veja isso
Ataque com software descarrega dinheiro de ATMs Diebold Nixdorf
Malware pode descarregar dinheiro de ATMs
Os ATMs mais usados pelos bancos são das marcas Diebold Nixdorf, Wincor Nixdorf, NCR, Triton e Hitachi-Omron. Os cibercriminosos são bem específicos em relação a seus alvos e o conhecimento do hardware do ATM facilita a compra do malware e da chave apropriados para abrir o gabinete do ATM.
As portas USB em caixas eletrônicos são restritas e só aceitam a conexão de um teclado ou mouse. Por isso, os hackers utilizam o Raspberry Pi com uma bateria para que possa funcionar como uma unidade portátil. O malware é escrito de uma forma que convence o caixa eletrônico de que o Raspberry Pi é um teclado. Comandos armazenados no equipamento são usados para que o caixa eletrônico os siga obedientemente.
Outra forma é inserir um stick de memória USB no ATM e reiniciá-lo de um sistema operacional no stick de memória. Quando o caixa eletrônico é inicializado, os operadores da ameaça podem instalar o malware diretamente no sistema operacional inativo do caixa eletrônico. Ao reinicializá-lo usando o sistema operacional normal, o hacker pode controlar o malware inserindo um cartão especialmente criado ou por meio de uma combinação de chave secreta no teclado do caixa eletrônico.
