Chupa Cabra - dosłownie „wysysacz kóz” - to mityczne stworzenie zamieszkuje ponoć niektóre rejony Ameryk. Wieść niesie, że niedawno widziano je w Puerto Rico, Meksyku i w Stanach Zjednoczonych. Chupa Cabra to również stosowana przez brazylijskich cyberprzestępców finansowych nazwa nakładek do bankomatów (tzw. skimmerów) pozwalających na "wysysanie" informacji zapisanych na kartach płatniczych.

Brazylijskie media regularnie pokazują materiały filmowe, na których przestępcy instalują Chupa Cabra w bankomatach. Niektórzy z nich mają pecha (lub niewystarczające umiejętności) przez co zostają sfilmowani przez kamery przemysłowe i złapani przez policję.

Ponieważ instalowanie skimmerów stanowi ryzykowne przedsięwzięcie, brazylijscy cyberprzestępcy finansowi (zwani "carderami") połączyli siły z lokalnymi programistami, aby opracować łatwiejszy, bezpieczniejszy sposób kradzieży i klonowania informacji dotyczących kart kredytowych. Właśnie z takiego piekielnego sojuszu narodziło się oprogramowanie Chupa Cabra.

Szkodnik ten opiera się na prostej koncepcji: zamiast korzystać ze sprzętu podłączanego do bankomatu i ryzykować przyłapaniem na gorącym uczynku, cyberprzestępcy instalują szkodliwy program na komputerach z systemem Windows. Ich celem jest przechwycenie komunikacji z urządzeń do wprowadzania PIN-ów, spotykanych w supermarketach, na stacjach benzynowych oraz wszędzie tam, gdzie akceptowane są płatności kartą.

Płatności kartą

Kliknij aby powiększyć

Szkodnik Chupa Cabra został wykryty po raz pierwszy w Brazylii jako Trojan-Spy.Win32.SPSniffer i znane są cztery jego warianty (A, B, C oraz D). Z założenia trojany te są wysoce wyspecjalizowane i atakują określone cele. Co ważne, ataki Chupa Cabry zwiększają swój zasięg – do tej pory znane są potwierdzone przypadki w Stanach Zjednoczonych i prawdopodobnie w innych miejscach na świecie.

Urządzenia do wprowadzania PIN-u są podłączane do komputera ze specjalnym oprogramowaniem poprzez USB lub port szeregowy (COM). Starsze wersje tych urządzeń, nadal często wykorzystywane, nie szyfrują w żaden sposób części danych odczytywanych z paska magnetycznego oraz chipu karty płatniczej. Zwykle dane te obejmują numer karty, datę utraty ważności, kod usługi oraz kod CVV – czyli prawie wszystkie informacje, jakie musi zdobyć oszust, aby móc wydawać pieniądze ofiary. Ponieważ dane te nie są w żaden sposób zaszyfrowane, wędrują one do komputera PC w postaci otwartej. Przechwycenie danych potrzebnych do "sklonowania" karty kredytowej jest w takim przypadku bardzo proste.

Działanie trojana Chupa Cabra jest dość proste - szkodnik przechwytuje wszystkie dane przesyłane między urządzeniem do wprowadzania PIN-ów a komputerem PC. Ponadto, trojan rejestruje wszystkie znaki wprowadzane z klawiatury zainfekowanego komputera. Wszystkie skradzione dane są zapisywane w pliku i wysyłane do cyberprzestępcy, zwykle za pośrednictwem poczty e-mail.

Gdy omawiany problem wyszedł na jaw, brazylijskie firmy zajmujące się kartami kredytowymi zaczęły masowo uaktualniać oprogramowanie systemowe w starych urządzeniach do wprowadzania PIN-ów, tak aby nie były podatne na ataki.

„Taka jest prawdziwa historia trojana Chupa Cabra, będącego owocem współpracy brazylijskich carderów oraz programistów” - mówi Fabio Assolini, ekspert z Kaspersky Lab. „Dzięki wspólnym wysiłkom Kaspersky Lab oraz jednej z firm zajmujących się kartami kredytowymi udało się wykryć i pokonać tę szkodliwą bestię w Brazylii”.

Eksperci z Kaspersky Lab nadal badają tę sprawę, w szczególności w kontekście rozprzestrzeniania się trojana Chupa Cabra poza Brazylią.