Chupa Cabra - wysysacz kart płatniczych

Chupa Cabra, malware pozwalające cyberprzestępcom na klonowanie kart płatniczych, zwiększa swój zasięg. Pierwotnie zagrożenie to dotyczyło wyłącznie Brazylii, jednak niedawno zarejestrowano jego obecność już w Stanach Zjednoczonych.

Chupa Cabra - dosłownie „wysysacz kóz” - to mityczne stworzenie zamieszkuje ponoć niektóre rejony Ameryk. Wieść niesie, że niedawno widziano je w Puerto Rico, Meksyku i w Stanach Zjednoczonych. Chupa Cabra to również stosowana przez brazylijskich cyberprzestępców finansowych nazwa nakładek do bankomatów (tzw. skimmerów) pozwalających na "wysysanie" informacji zapisanych na kartach płatniczych.

Brazylijskie media regularnie pokazują materiały filmowe, na których przestępcy instalują Chupa Cabra w bankomatach. Niektórzy z nich mają pecha (lub niewystarczające umiejętności) przez co zostają sfilmowani przez kamery przemysłowe i złapani przez policję.

Ponieważ instalowanie skimmerów stanowi ryzykowne przedsięwzięcie, brazylijscy cyberprzestępcy finansowi (zwani "carderami") połączyli siły z lokalnymi programistami, aby opracować łatwiejszy, bezpieczniejszy sposób kradzieży i klonowania informacji dotyczących kart kredytowych. Właśnie z takiego piekielnego sojuszu narodziło się oprogramowanie Chupa Cabra.

Szkodnik ten opiera się na prostej koncepcji: zamiast korzystać ze sprzętu podłączanego do bankomatu i ryzykować przyłapaniem na gorącym uczynku, cyberprzestępcy instalują szkodliwy program na komputerach z systemem Windows. Ich celem jest przechwycenie komunikacji z urządzeń do wprowadzania PIN-ów, spotykanych w supermarketach, na stacjach benzynowych oraz wszędzie tam, gdzie akceptowane są płatności kartą.

Urządzenia do wprowadzania PIN-u są podłączane do komputera ze specjalnym oprogramowaniem poprzez USB lub port szeregowy (COM). Starsze wersje tych urządzeń, nadal często wykorzystywane, nie szyfrują w żaden sposób części danych odczytywanych z paska magnetycznego oraz chipu karty płatniczej. Zwykle dane te obejmują numer karty, datę utraty ważności, kod usługi oraz kod CVV – czyli prawie wszystkie informacje, jakie musi zdobyć oszust, aby móc wydawać pieniądze ofiary. Ponieważ dane te nie są w żaden sposób zaszyfrowane, wędrują one do komputera PC w postaci otwartej. Przechwycenie danych potrzebnych do "sklonowania" karty kredytowej jest w takim przypadku bardzo proste.

Działanie trojana Chupa Cabra jest dość proste - szkodnik przechwytuje wszystkie dane przesyłane między urządzeniem do wprowadzania PIN-ów a komputerem PC. Ponadto, trojan rejestruje wszystkie znaki wprowadzane z klawiatury zainfekowanego komputera. Wszystkie skradzione dane są zapisywane w pliku i wysyłane do cyberprzestępcy, zwykle za pośrednictwem poczty e-mail.

źródło: KasperskyLab