El malware ‘Chupa Cabra’: nuevos ataques cajeros automáticos

Seguro has oído hablar del ‘chupacabras’. Es una bestia mítica que se dice que habita en algunos lugares de América. Dicen haberla visto hace poco en Puerto Rico (donde se descubrió por primera vez), México y en localidades latinas de los Estados Unidos. Los clonadores de tarjetas de crédito brasileños también han adoptado el nombre ‘chupacabras’ para referirse a sus ‘skimmers’, los aparatos que instalan en los cajeros automáticos para robar los datos de las tarjetas. Usan este nombre porque “chupa” la información de las tarjetas de crédito de sus víctimas.

Los medios de comunicación brasileños muestran a menudo videos de criminales instalando sus chupacabras en cajeros automáticos. Algunos tienen mala suerte o son incompetentes y acaban grabados en las cámaras de seguridad y la policía los atrapa.

Por eso el negocio de instalar skimmers en cajeros es muy arriesgado, y los ladrones de tarjetas de crédito brasileños se han unido con los programadores locales para desarrollar una forma más fácil y segura de robar y clonar información de las tarjetas de crédito. De esta alianza maléfica nace el malware “Chupa Cabra”.

La idea del malware es muy simple: en vez de que los clonadores se arriesguen a que los encuentren in fraganti con un skimmer de cajeros automáticos, están desarrollando e instalando su código malicioso en PCs de Windows. Intentan interceptar las comunicaciones desde los lectores de tarjetas. Estos lectores son esos aparatos que se utilizan en los supermercados, estaciones de gas y en cualquier lugar en el que se aceptan pagos con tarjetas.

El malware se detectó por primera vez a finales de diciembre de 2010 en Brasil como Trojan-Spy.Win32.SPSniffer y tiene cuatro variantes (A, B, C y D), y se negoció entre los cibercriminales brasileños por 5.000 $. Por lo general, estos troyanos están muy especializados y se dirigen a blancos específicos. Y estos ataques están expandiéndose: ya conocemos casos confirmados en los Estados Unidos, y es probable que también hayan ocurrido en otras partes del mundo.

Por supuesto, los lectores de tarjetas están protegidos. Están equipados con artefactos y herramientas de seguridad para garantizar que las claves de seguridad se borren si alguien trata de penetrar en el aparato. Es más, el PIN se codifica tan pronto como se introduce con varios métodos de codificación y claves simétricas. Por lo general es un codificador DES triple, por lo que es muy difícil adivinar el PIN.

Pero hay un problema: estos aparatos siempre están conectados a un ordenador mediante un USB o puerto en serie que se comunica con el programa EFT (Transferencia de Fondos Electrónicos). Los lectores de tarjetas más viejos y anticuados, que se siguen usando en Brasil, son vulnerables en este punto.

Los datos Track 1 y la información pública que se encuentra en el chip de tu tarjeta no se codifican en el hardware de estos viejos aparatos. Eso incluye tu número de tarjeta, fecha de expiración, código de servicio y datos como CVV, en otras palabras, casi todo lo que necesita un delincuente para gastar tu dinero. Como esta información no está codificada, ingresa al PC como un texto simple. Es suficiente capturar estos datos para clonar tu tarjeta de crédito.

El malware instala un controlador simple un para rastrear USBs y puertos en serie, que casi siempre consiste en una adaptación de algún programa comercial como Eltima y TVicPort, que obtiene todos los datos transmitidos entre el lector de tarjetas y el ordenador. Las primeras versiones del malware Chupa Cabra también instalaban un DLL que vigilaba y robaba el tráfico de redes desde todos los dispositivos conectados a cualquier puerto COM.

Las versiones más nuevas utilizan el controlador TVicCommSpy para capturar el tráfico USB con el mismo propósito.

Además, el DLL malicioso tiene una función de Keylogger, por lo que intercepta todos los botones que se pulsan en el teclado. Toda la información que se roba de Track 1 se guarda en un archivo que contiene los datos interceptados e información sobre el ordenador de la víctima y se envía al criminal, casi siempre por correo electrónico.

Para asegurarse de que los datos se estén transfiriendo a los criminales de forma “segura”, el malware tiene un sistema criptográfico simétrico con un nombre de clave Unicode muy interesante…

Cuando el problema se volvió evidente, las empresas de tarjetas de crédito en Brasil comenzaron a cambiar el firmware de estos lectores de tarjetas antiguos por los nuevos que no son vulnerables a la amenaza.

Esa es la historia real de Trojan-Spy.Win32.SPSniffer, el malware Chupa Cabra que se desarrolló de forma conjunta entre los clonadores de tarjetas y los programadores brasileños. Pero un trabajo conjunto entre Kaspersky Lab y una compañía líder del mercado de tarjetas de crédito hizo que se pudiera detectar y derrotar esta bestia maliciosa en Brasil.

Seguimos trabajando en ello, y estamos muy entusiasmados por trabajar con empresas de tarjetas de crédito para conseguir muestras y otros datos que puedan ayudarnos a hacer que nuestros productos detecten y eliminen estas amenazas.