La empresa de seguridad informática Kaspersky informó que descubrió «una nueva muestra de un malware especializado en ataques a cajeros automáticos, cuya actividad ha sido detectada en Colombia y México». El malware se llama ATMJaDi (una variante de WinPot) y su objetivo es «vaciar los cajeros automáticos infectados. Los ataques de ese malware se centran en un grupo específico de cajeros y por eso presume que este pudo haber sido creado por insiders o empleados corruptos del banco».

Tal como sucede con la mayoría de los programas maliciosos para cajeros automáticos, los atacantes detrás de ATMJaDi deben encontrar una manera de instalar el malware. Al analizar el código, los investigadores notaron que este no puede ser controlado mediante el teclado o la pantalla táctil de las máquinas, pero es capaz de enviar comandos personalizados para dispensar dinero de los cajeros. Esto sugiere que ATMJaDi pudo haber sido desarrollado por insiders con acceso al código fuente de un banco en particular y, por ende, a la red donde están conectados los cajeros automáticos.

Cómo funciona el malware que ataca cajeros automáticos

El malware era instalado por medio de un archivo Java, un lenguaje de programación, que no es típico en programas maliciosos en los cajeros automáticos. Los sistemas estándar son XFS, JXFS o CSC. Además, dentro del código, los criminales informáticos usaron una mezcla de idiomas, especialmente ruso, pero gran parte está en inglés.

«Los autores de ATMJaDi parecen haber incluido «banderas» falsas en forma de palabras y frases rusas para confundir a los especialistas sobre el verdadero origen del malware. De hecho, la mayoría de las palabras en el código están en inglés y las pocas palabras incluidas en otros idiomas se utilizan de manera inapropiada», afirmó Dmitry Bestuzhev, director del equipo de investigación y análisis para América Latina en Kaspersky.

Al completarse exitosamente la infección en un cajero automático, el malware muestra la frase «libertad y gloria» en la pantalla de la terminal en ruso, portugués, español y chino. El mensaje es seguido por una palabra rusa que significa «separado». «El hecho de que el malware cuente con el mensaje en español y portugués es una gran alerta para los bancos de la región. Tradicionalmente, los ciberdelincuentes suelen vender malware entre sí para propagar la infección e incrementar sus ganancias», resalta Bestuzhev. 

La empresa no especificó cuáles fueron los cajeros automáticos infectados, e invitó a las empresas financieras a monitorear de cerca los dispositivos conectados con acceso a la red corporativa por medio de soluciones para endpoint. Además, les recomendó eliminar «agujeros» de seguridad, especialmente aquellos que tienen que ver con la configuración inapropiada de redes, y utilizar soluciones especializadas en seguridad.

Fuente: InfoChannel

Compartir