A notícia de que os dados de 57 milhões de pessoas foram roubadas de servidores da Uber pegou muita gente de surpresa, mas teve muita gente que gostou da situação – e não, não são os concorrentes da empresa. Hackers começaram a lançar e-mails de phishing para roubar mais dados de gente preocupada e desavisada por aí.

A mensagem, toda tematizada com a logo da empresa, a fonte que ela usa e tudo mais, começa pedindo “profundas desculpas”. Ela continua, citando o roubo de dados, e orienta a pessoa a trocar sua senha no aplicativo. Para fechar o e-mail, os hackers ainda dizem que a empresa fechou uma parceria com sua principal concorrente, a Lyft, oferecendo um crédito de US$ 50.

Quem alertou sobre o esquema foi o consultor em segurança de TI Dale Meredith em seu Twitter:

O ponto crítico aqui é que, ao clicar no botão para trocar de senha, você é instruído a colocar sua senha antiga e uma nova – uma prática bem comum em trocas de senha. A partir daí fica fácil: com seu e-mail e senha, os hackers podem invadir sua conta, além de possivelmente ter acesso a outras contas por conta do hábito comum de as pessoas usarem a mesma senha.

Como sempre, a sugestão segue sempre sendo a mesma: olhos atentos na internet, sempre. Se for fazer qualquer alteração de senha, faça acessando o site oficial ou pelo aplicativo da Uber.

Imagina se você é funcionário de um banco e vai fazer a reposição na máquina de autoatendimento. Quando vai realizar o trabalho, a encontra vazia, sem nenhuma cédula ou registros de transações bancárias. Não há também vestígios de interação física com a máquina nem malware — não aparentemente.

Em fevereiro deste ano, a Kaspersky, empresa de segurança digital, publicou em seu blog resultados de uma investigação sobre ataques misteriosos contra bancos, os quais incluíam casos no Brasil, usando um malware que não deixa vestígios. O caso foi chamado de “ATMitch”.

Modelo gráfico dos dados referente a ataque no mundo

A investigação começou depois que o banco recuperou e compartilhou dois arquivos contendo logs de malware do disco rígido do caixa (kl.txt e logfile.txt) com a empresa de segurança. Esses foram os únicos arquivos deixados após o ataque: não foi possível localizar os executáveis maliciosos porque, após o roubo, os cibercriminosos tinham removido o malware.

Analisando os arquivos de log – que funcionam como um histórico de operações da máquina – os analistas encontraram, agruparam e categorizaram amostras de malware relacionadas e estabeleceram conexões entre elas com base em padrões de atividade suspeita em sistemas ou redes que compartilham similaridades.

Depois de um dia de espera, os especialistas chegaram a uma amostra de malware desejada, chamada de “tv.dll” ou “ATMitch”, como foi mais tarde apelidado. Foi vista duas vezes: uma no Cazaquistão, e outra na Rússia.

Print da tela citada no texto

Esse malware é instalado remotamente e executado em um caixa eletrônico a partir do banco-alvo. Depois de instalado e conectado ao terminal de autoatendimento, o vírus ATMitch se comunica com ele como se fosse o programa legítimo da instituição.

Essa invasão possibilita que os hackers realizem uma lista de ações — como a coleta de informações sobre o número de cédulas disponíveis. Dessa forma, eles conseguem dispensar dinheiro a qualquer momento, com apenas um comando.

Depois de retirar dinheiro, os criminosos o pegam e vão embora. Uma vez que um banco é roubado, o malware exclui seus traços.

Responsáveis pelo ataque

Ainda não se sabe quem está por trás dos ataques, já que o uso de ferramentas de exploração de código aberto, utilitários comuns do Windows e domínios desconhecidos torna quase impossível determinar o grupo responsável.

Porém, o arquivo “tv.dll”, usado no ataque, contém um recurso de idioma russo, e os grupos conhecidos que poderiam caber nesse perfil são GCMAN e Carbanak.

Para saber mais informações sobre a investigação, bem como os detalhes da análise, você pode acessar o site da Secure List [em inglês].