Szkodliwe oprogramowanie Chupa Cabra: ataki na urz膮dzenia p艂atnicze

Kaspersky Lab informuje o szkodliwym programie "Chupa Cabra" pozwalaj膮cym cyberprzest臋pcom na klonowanie kart p艂atniczych. Pierwotnie zagro偶enie to dotyczy艂o wy艂膮cznie Brazylii, jednak niedawno eksperci z Kaspersky Lab zarejestrowali jego obecno艣膰 w Stanach Zjednoczonych, co 艣wiadczy o tym, 偶e Chupa Cabra rozszerza sw贸j zasi臋g.

Chupa Cabra - dos艂ownie "wysysacz k贸z" - to mityczne stworzenie zamieszkuje pono膰 niekt贸re rejony Ameryk. Wie艣膰 niesie, 偶e niedawno widziano je w Puerto Rico, Meksyku i w Stanach Zjednoczonych. Chupa Cabra to r贸wnie偶 stosowana przez brazylijskich cyberprzest臋pc贸w finansowych nazwa nak艂adek do bankomat贸w (tzw. skimmer贸w) pozwalaj膮cych na "wysysanie" informacji zapisanych na kartach p艂atniczych.

Brazylijskie media regularnie pokazuj膮 materia艂y filmowe, na kt贸rych przest臋pcy instaluj膮 Chupa Cabra w bankomatach. Niekt贸rzy z nich maj膮 pecha (lub niewystarczaj膮ce umiej臋tno艣ci) przez co zostaj膮 sfilmowani przez kamery przemys艂owe i z艂apani przez policj臋.

Poniewa偶 instalowanie skimmer贸w stanowi ryzykowne przedsi臋wzi臋cie, brazylijscy cyberprzest臋pcy finansowi (zwani "carderami") po艂膮czyli si艂y z lokalnymi programistami, aby opracowa膰 艂atwiejszy, bezpieczniejszy spos贸b kradzie偶y i klonowania informacji dotycz膮cych kart kredytowych. W艂a艣nie z takiego piekielnego sojuszu narodzi艂o si臋 oprogramowanie Chupa Cabra.

Szkodnik ten opiera si臋 na prostej koncepcji: zamiast korzysta膰 ze sprz臋tu pod艂膮czanego do bankomatu i ryzykowa膰 przy艂apaniem na gor膮cym uczynku, cyberprzest臋pcy instaluj膮 szkodliwy program na komputerach z systemem Windows. Ich celem jest przechwycenie komunikacji z urz膮dze艅 do wprowadzania PIN-贸w, spotykanych w supermarketach, na stacjach benzynowych oraz wsz臋dzie tam, gdzie akceptowane s膮 p艂atno艣ci kart膮.

Szkodnik Chupa Cabra zosta艂 wykryty po raz pierwszy w Brazylii jako Trojan-Spy.Win32.SPSniffer i znane s膮 cztery jego warianty (A, B, C oraz D). Z za艂o偶enia trojany te s膮 wysoce wyspecjalizowane i atakuj膮 okre艣lone cele. Co wa偶ne, ataki Chupa Cabry zwi臋kszaj膮 sw贸j zasi臋g - do tej pory znane s膮 potwierdzone przypadki w Stanach Zjednoczonych i prawdopodobnie w innych miejscach na 艣wiecie.

Urz膮dzenia do wprowadzania PIN-u s膮 pod艂膮czane do komputera ze specjalnym oprogramowaniem poprzez USB lub port szeregowy (COM). Starsze wersje tych urz膮dze艅, nadal cz臋sto wykorzystywane, nie szyfruj膮 w 偶aden spos贸b cz臋艣ci danych odczytywanych z paska magnetycznego oraz chipu karty p艂atniczej. Zwykle dane te obejmuj膮 numer karty, dat臋 utraty wa偶no艣ci, kod us艂ugi oraz kod CVV - czyli prawie wszystkie informacje, jakie musi zdoby膰 oszust, aby m贸c wydawa膰 pieni膮dze ofiary. Poniewa偶 dane te nie s膮 w 偶aden spos贸b zaszyfrowane, w臋druj膮 one do komputera PC w postaci otwartej. Przechwycenie danych potrzebnych do "sklonowania" karty kredytowej jest w takim przypadku bardzo proste.

Dzia艂anie trojana Chupa Cabra jest do艣膰 proste - szkodnik przechwytuje wszystkie dane przesy艂ane mi臋dzy urz膮dzeniem do wprowadzania PIN-贸w a komputerem PC. Ponadto, trojan rejestruje wszystkie znaki wprowadzane z klawiatury zainfekowanego komputera. Wszystkie skradzione dane s膮 zapisywane w pliku i wysy艂ane do cyberprzest臋pcy, zwykle za po艣rednictwem poczty e-mail.

Gdy omawiany problem wyszed艂 na jaw, brazylijskie firmy zajmuj膮ce si臋 kartami kredytowymi zacz臋艂y masowo uaktualnia膰 oprogramowanie systemowe w starych urz膮dzeniach do wprowadzania PIN-贸w, tak aby nie by艂y podatne na ataki.

"Taka jest prawdziwa historia trojana Chupa Cabra, b臋d膮cego owocem wsp贸艂pracy brazylijskich carder贸w oraz programist贸w" - m贸wi Fabio Assolini, ekspert z Kaspersky Lab. "Dzi臋ki wsp贸lnym wysi艂kom Kaspersky Lab oraz jednej z firm zajmuj膮cych si臋 kartami kredytowymi uda艂o si臋 wykry膰 i pokona膰 t臋 szkodliw膮 besti臋 w Brazylii".

Eksperci z Kaspersky Lab nadal badaj膮 t臋 spraw臋, w szczeg贸lno艣ci w kontek艣cie rozprzestrzeniania si臋 trojana Chupa Cabra poza Brazyli膮.

殴ród艂o:
Kaspersky Lab