Foi descoberto um novo tipo de malware, designado de EU ATM Malware, que tem como vítima as caixas ATM na Europa. Este malware está a ganhar popularidade devido à sua eficácia de 99%, até ao momento sem precedentes.

Ataques às caixas ATM são muito lucrativos...

Os ataques a caixas ATM são muito populares, e ao mesmo tempo lucrativos, uma vez que oferecem dinheiro "vivo" diretamente. O lançamento de malware ou de dispositivos especiais concebidos para levantar dinheiro de várias caixas multibanco aparecem frequentemente na dark web e na maioria dos casos, originam vagas de ataques a bancos em diferentes países. Ao longo dos anos, os métodos populares de software para levantar dinheiro de caixas multibanco incluíram o Tyupkin, Cutlet Maker, Skimer e outros. Por exemplo, entre os anos de 2015 e 2016, o método Black Box adquiriu particular popularidade.

Tendo em conta a alegada funcionalidade multiplataforma deste malware, pode presumir-se que se baseia na norma XFS – uma norma que disponibiliza uma API comum para gerir os vários módulos internos dos ATM independentemente do fabricante.

Ao longo de muitos anos de análise da segurança das ATM, desenvolvemos uma série de ferramentas para testar a possibilidade de levantamento de dinheiro dos ATM. A primeira delas foi escrita há mais de 10 anos, quando a maioria dos ATM ainda utilizava a versão do Windows XP. Esta ferramenta, com pequenas modificações, continua a funcionar nas versões mais recentes do sistema operativo, independentemente da plataforma (NCR, Diebold, GRG, Hyosung, etc.).

O malware, ao utilizar as características da norma XFS, demonstra as vulnerabilidades e as falhas das caixas de multibanco automáticas que permitem ao cibercriminoso esvaziar o seu conteúdo por completo. De facto, a distribuição não autorizada de dinheiro pode ser totalmente automatizada, exceto o momento que se retira o conjunto de notas do ATM.

Até ao momento, a eficácia deste malware é de 99% nas caixas multibanco europeias e até 60% nas caixas multibanco de outros países, o que sugere que o malware foi criado especificamente para dispositivos europeus.

Contudo, não significa que as caixas multibanco fora da Europa estejam seguras. É importante lembrar que, para além dos métodos de software para a distribuição não autorizada de dinheiro, existem também métodos de hardware. Infelizmente, durante todas as análises de segurança que realizámos, mesmo em 2024, encontrámos pelo menos um método de ataque em cada ATM que permite o levantamento total de dinheiro.

Desta forma, a atenção adequada à segurança dos dispositivos financeiros, os testes de penetração regulares e a avaliação da segurança dos ATM, juntamente com a aplicação atempada de medidas compensatórias quando são detetadas vulnerabilidades, reduzem o risco de ataques a ATM e minimizam as perdas financeiras e de reputação. A monitorização das atividades clandestinas que visam um banco ou um sector pode ser feita através de serviços de ciberespionagem.