Kaspersky analiza un malware que descubre una misteriosa forma de robar dinero en cajeros

  • El malware se llama ATMitch y no deja rastros de interacción física con la máquina.
  • Las muestras se habían hallado antes en Kazajstán y Rusia.
  • Este malware se instala y ejecuta remotamente en un cajero automático desde el banco de destino: todavía no se sabe quién está detrás de los ataques.
Una imagen de un cajero automático.
Una imagen de un cajero automático.
GTRES

La compañía de ciberseguridad Kaspersky Lab lleva un tiempo analizando el malware ATMitch, a raíz de ver cómo los criminales utilizaban malware en la memoria (in memory) para infectar las redes bancarias, y ha descubierto una misteriosa forma de robar dinero de cajeros automáticos "sin dejar rastros de interacción física con la máquina".

La investigación comenzó cuando los especialistas forenses del banco recuperaron y compartieron con Kaspersky Lab dos archivos que contenían registros de malware en el disco duro del ATM (kl.txt y logfile.txt). Eran los únicos archivos que quedaban después del ataque: no era posible recuperar los ejecutables maliciosos porque tras el robo los cibercriminales habían limpiado el malware.

En cualquier caso, esta pequeña cantidad de datos ha sido suficiente para que Kaspersky Lab llevara a cabo una investigación exitosa. Dentro de los archivos de registro, los expertos de la compañía de ciberseguridad fueron capaces de identificar partes de información en texto plano que les ayudó a crear una regla YARA para los repositorios públicos de malware y encontrar una muestra.

Las reglas YARA —básicamente cadenas de búsqueda— ayudan a los analistas a encontrar, agrupar y categorizar muestras de malware relacionadas y establecer conexiones entre ellas basándose en patrones de actividad sospechosa en sistemas o redes que comparten similitudes. Tras un día de espera, los expertos encontraron una muestra de malware —"tv.dll", o "ATMitch"— que ya se había visto otras dos veces más: una vez de Kazajstán y otra en Rusia.

Distribuir el dinero con sólo tocar un botón

Este malware se instala y ejecuta remotamente en un cajero automático desde el banco de destino. Una vez instalado y conectado al ATM, el malware ATMitch se comunica como si fuera un software legítimo. Permite a los atacantes llevar a cabo una lista de comandos, como recopilar información sobre el número de billetes en los casetes del cajero y proporciona a los cibercriminales la capacidad de distribuir dinero en cualquier momento, con solo tocar un botón.

Por lo general, los cibercriminales empiezan por obtener información sobre la cantidad de dinero que tiene el cajero. Después de eso, envían una orden para dispensar un número de billetes concretos. Después de retirar el dinero de esta curiosa manera, los criminales sólo tienen que huir. Una vez robado el ATM, el malware elimina sus trazas.

Todavía no se sabe quién está detrás de los ataques. El uso de código de explotación abierto, utilidades comunes de Windows y dominios desconocidos durante la primera etapa de la operación hace que sea casi imposible determinar el grupo responsable. Sin embargo, "tv.dll", usado en la etapa ATM del ataque contiene un recurso en ruso y los grupos conocidos que podrían encajar en este perfil son GCMAN y Carbanak.

"Los ciberatacantes pueden estar activos. Para combatir este tipo de ataques es necesario que el responsable en seguridad TI reúna un conjunto específico de habilidades para proteger a la organización objetivo. El éxito de la violación y extracción de datos de una red sólo puede llevarse a cabo con herramientas comunes y legítimas. Después del ataque, los ciberdelincuentes pueden borrar todos los datos que podrían conducir a su detección sin dejar huellas. Para abordar estas cuestiones, la memoria forense se está convirtiendo en crítica para el análisis de malware y sus funciones", afirma Sergey Golovanov, analista principal de Seguridad en Kaspersky Lab.

Mostrar comentarios

Códigos Descuento