Software para roubar caixas automáticas à venda por 4000 euros na net

Um kit com um malware chamado Cutlet Maker permite fazer jackpot no ATM. Em Portugal, PJ está atenta

Os hackers encontraram uma forma de enriquecer rápida e facilmente com “assaltos” informáticos às caixas automáticas. Pelo custo de apenas quatro mil euros está a ser vendido na darknet (a internet subterrânea) um kit de software (Cutlet Maker) que permite aceder ao sistema das ATM e levantar dinheiro, sem precisar de detetar o código de um cliente ou de apontar uma arma ao bancário. Basta ter acesso direto ao interior de uma ATM para chegar à porta USB que será usada para carregar o malware ou o vírus. Depois, o hacker insere um dispositivo USB onde está o kit do software Cutlet Maker. Como este é protegido por uma palavra-passe, é preciso gerá-la através de um programa próprio (c0decalc) para defender a aplicação de utilizadores não autorizados.

Depois da criação do código basta inseri-lo no interface do Cutlet Maker para dar início ao processo de remoção de dinheiro, explicou, num comunicado, a Kaspersky, empresa especializada em soluções antivírus. Não é preciso mais nada para ter acesso a milhões de euros.

O software já foi utilizado em vários países por hackers que conseguiram aceder às caixas automáticas de levantamentos, garante a empresa, escusando–se a pormenorizar onde e qual o montante dos prejuízos. “Sabemos que este malware já foi usado em ataques reais. Já fomos contactados por vários bancos a propósito desses incidentes”, adiantou ao DN Konstantin Zykov, investigador principal no Kaspersky Lab e porta-voz da empresa.

Segundo a Kaspersky, o Cutlet Maker tem estado à venda desde 27 de março, mas amostras mais antigas surgiram nos radares das comunidades de segurança informática em junho de 2016. É vendido na darknet, a internet clandestina e de difícil acesso ao público em geral, onde também são comercializados novos e velhos estupefacientes e tudo o que é proibido. Não é possível saber se o kit já foi muito vendido. “A página de internet que promovia o Cutlet Maker continha um contador que registou pelo menos uma compra. Mas agora já vemos várias ofertas do software em diferentes fóruns que não têm os tais contadores, pelo que não é possível saber quantas cópias foram vendidas”, refere Konstantin Zykov.

Portugal sem queixas

Em Portugal, os investigadores do crime informático da Polícia Judiciária ainda não estão familiarizados com este software específico. “Temos conhecimento de vários tipos de malware direcionados. Normalmente, através desse software os hackers manipulam as ATM e conseguem introduzir-se em contas bancárias e proceder a levantamentos. Mas não temos registo de qualquer queixa relativa ao Cutlet Maker em Portugal”, adiantou Carlos Cabreiro, diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T).

Segundo adiantou ainda o porta-voz da Kaspersky, “este parece ser o primeiro caso de um malware que é vendido abertamente e que pode ser usado por qualquer um que queira assaltar uma ATM. Os manuais passo a passo e as instruções vídeo capacitam criminosos que não tenham tido qualquer experiência com caixas automáticas”.

Konstantin Zykov precisou ainda que a consultora “assistiu os bancos envolvidos nos incidentes”, ou seja, nos ataques reais que já existiram, escusando-se a revelar quantos casos foram. A Kaspersky também não tem informações sobre ações judiciais nesta matéria.

Europol alerta para ataques

No relatório de 2017 sobre os vários tipos de malware que atingem as caixas automáticas, os peritos da Europol alertam que os ataques progrediram: o acesso já não tem de ser físico, os hackers estão a entrar através do próprio sistema informático das ATM. As infeções com vírus na rede das caixas requerem mais trabalho e planeamento por parte do atacante, com a dificuldade principal a ser o acesso ao sistema da ATM através da rede informática do banco. Segundo a Europol, alguns bancos não têm estas duas redes separadas e protegidas por firewalls.

Quando os criminosos percebem que podem instalar malware e entrar na rede informática da ATM, sabem que, a partir daí, podem roubar o dinheiro que quiserem das máquinas, refere o documento. A Europol acredita que este tipo de ataques representa uma nova tendência na cibercriminalidade, embora até agora tenham sido reportados casos apenas nos EUA e no Canadá.

O primeiro malware, o Skimmer v2009, foi encontrado originalmente na Rússia e na Ucrânia. O código original terá sido desenvolvido na Europa de Leste e foi reutilizado por um grupo latino-americano. A seguir surgiu o Ploutus, muito parecido e ainda ativo. Outro malware mais recente e vindo do Leste Europeu é o GreenDispenser, que pertencerá a um grupo rival, segundo o relatório da Europol. Há ainda o Neopocket, mais direcionado para bancos específicos e que terá origem na América Latina. A Europol acredita que estará ativo um grupo do Leste com células em várias cidades europeias.