Infractorii cibernetici folosesc Skimer ca să fure banii din bancomate. În timpul investigaţiei unui incident, s-au descoperit urmele unei versiuni îmbunătăţite a programului malware Skimer pe unul dintre bancomatele băncii. Fusese implantat acolo şi lăsat inactiv până când infractorii cibernetici îl pun în acţiune - un mod inteligent să-şi ascundă urmele, potrivit echipei de experţi a Kaspersky Lab.
Grupul Skimer îşi începe activitatea obţinând acces la sistemul ATM-ului - fie în mod fizic, fie prin reţeaua internă a băncii. După ce instalează cu succes Backdoor.Win32.Skimer în sistem, acesta infectează părţile critice ale bancomatului - programul responsabil de interacţiunile aparatului cu infrastructura bancară, procesarea numerarului şi a cardurilor.
Infractorii au, apoi, control total asupra bancomatelor infectate, dar acţionează prudent şi abil. În loc să instaleze dispozitivele de tip skimmer (un fals cititor de card peste cititorul autentic) pentru a colecta datele de card, transformă întregul ATM într-un skimmer. Având ATM-ul infectat cu Backdoor.Win32.Skimer, infractorii pot retrage toate fondurile disponibile sau fura datele de pe cardurile folosite la bancomatul respectiv: inclusiv numărul de cont bancar al clientului şi codul PIN. Utilizatorii nu au cum să îşi dea seama că ATM-urile acelea sunt infectate. Nu au niciun indiciu că ar fi compromise, spre deosebire de dispozitivele de tip skimmer, unde un utilizator versat poate descoperi dacă acestea înlocuiesc adevăratul cititor de card al aparatului.
Retragerile directe de bani din casetele de numerar vor fi descoperite imediat după prima încasare, în timp ce programele malware aflate în interiorul bancomatului pot copia datele de pe carduri o perioadă îndelungată. De aceea, infractorii din Skimer nu încep să acţioneze imediat - sunt foarte grijulii să îşi ascundă urmele: programul lor poate fi prezent pe un bancomat infectat timp de mai multe luni, fără să aibă nicio activitate.
Pentru a-l activa, infractorii inserează un anumit card, care are înscrise o serie de informaţii pe banda magnetică. După citirea acelor informaţii, Skimer poate ori să lanseze comanda "hardcoded" (în programare, folosirea unei denumiri explicite, în locul unui simbol pentru ceva ce este posbil să se schimbe ulterior), ori să dea comenzi printr-un meniu special, activat de card. Interfaţa grafică a programului malware Skimer apare pe display doar după ce cardul este retras şi infractorul inserează elementele de criptare corecte într-un formular special, în mai puţin de 60 de secunde.
Cu ajutorul acestui meniu, infractorul poate activa 21 de comenzi diferite, cum ar fi eliberarea de numerar (40 de bancnote din caseta specificată), colectarea informaţiilor de pe cardurile inserate, auto-ştergerea, actualizarea (din codul malware updatat, înscris pe chip-ul cardului), etc. De asemenea, atunci când colectează informaţiile de pe card, programul Skimer poate salva fişierul cu toate datele pe chip-ul aceluiaşi card sau poate tipări informaţiile pe care le-a colectat de pe carduri, pe chitanţele de la ATM.
În majoritatea cazurilor, infractorii aleg să aştepte şi să adune datele de pe cardurile afectate, pentru a crea copii ale acestor carduri mai târziu. Cu aceste copii, merg la un ATM diferit, neinfectat, şi retrag bani din conturile clienţilor. Astfel, infractorii se asigură că ATM-ul infectat nu va fi descoperit curând.
Programul malware Skimer a fost răspândit masiv între 2010 şi 2013. Apariţia sa a dus la creşterea dramatică a numărului de atacuri împotriva ATM-urilor, cu până la nouă familii diferite de malware identificate de Kaspersky Lab. Acestea includ familia Tyupkin, descoperită în luna martie 2014, care a avut cea mai largă răspândire. În prezent, se pare că Backdoor.Win32.Skimer a revenit. Kaspersky Lab identifică acum 49 de modificări ale acestui program malware, cu 37 dintre acestea vizând bancomatele unuia dintre cei mai mari producători. Cea mai recentă versiune a fost descoperită la începutul lunii mai 2016.
Cu ajutorul mostrelor trimise la VirusTotal, se poate vedea distribuţia geografică foarte largă a bancomatelor potenţial infectate. Cele mai recente 20 de mostre din familia Skimer au fost încărcate din peste 10 surse, aflate pe tot globul: Emiratele Arabe Unite, Franţa, SUA, Rusia, Macao, China, Filipine, Spania, Germania, Georgia, Polonia, Brazilia, Cehia.
Pentru a contracara această ameninţare, Kaspersky Lab recomandă scanarea cu regularitate a sistemelor, împreună cu folosirea tehnologiilor de "whitelisting", o politică eficientă de management al dispozitivelor, criptarea totală a discului, protejarea BIOS-ului de la ATM, cu o parolă, izolarea reţelei ATM-ului de orice altă reţea internă a băncii.