Conocido como ATMJackpot, el nuevo malware ATM ha sido identificado por investigadores de seguridad de la información en Netskope Threat Research Labs. La investigación inicial reveló que el malware se originó en Hong Kong, mientras que el binario con sello de tiempo se identifica como el 28 de marzo de 2018.
El malware se encuentra en su fase de desarrollo debido a que, en comparación con otro malware previamente descubierto, ATMJackpot tiene características limitadas. Tal como su UI gráfica es bastante básica y solo muestra el nombre de host y la información sobre los proveedores de servicios, por ejemplo, PIN pad, lector de tarjetas y proveedores de servicios de dispensador de efectivo.
Según la publicación de Netskope, aún no está claro cómo se despliega o utiliza ATMJackpot, pero su propósito es bastante claro, que es robar dinero de los cajeros automáticos.
El jackpot de ATM también se llama ataque lógico; se refiere al uso de malware para controlar la distribución de efectivo desde un cajero automático. Por lo general, el malware se entrega a un cajero automático de manera remota oa través de un puerto USB después de comprometer la red del operador del cajero automático.
No se revela si la implementación de ATMJackpot fue el resultado de la instalación manual a través de USB en cajeros automáticos o si se descargó de una red infectada. Si el primero fuera el caso, entonces no habría sido difícil para los ladrones porque la instalación de malware en un cajero automático no es difícil en absoluto.
Jackpotting está diseñado para evitar el robo físico en la máquina y se puede insertar en el cajero automático a través del puerto USB, dijeron expertos en seguridad de la información. Los ciberdelincuentes están bastante familiarizados con la versión de Windows utilizada en la mayoría de los cajeros automáticos, por lo que comprometer físicamente la bóveda no es un problema para ellos.
El malware inicia su operación maliciosa registrando el nombre de clase de Windows “Win” con un proceso de actividad de malware y luego rellena las opciones disponibles en el sistema para conectarse con el administrador de XFS. El subsistema XFS proporciona una API común para manipular la máquina. A continuación, el malware inicia una sesión para registrarse con el proveedor de servicios a fin de rastrear eventos.
También inicia una sesión con el lector de tarjetas, el teclado PIN y los proveedores de servicios del dispensador de efectivo. Después de rastrear eventos, el malware emite comandos y lee datos del teclado PIN para dispensar efectivo y expulsar tarjetas. La descarga del malware se ha detectado como Gen: Variant.Razy.255528.
El jackpot de los cajeros automáticos se está convirtiendo en un problema serio y preocupante para los expertos en seguridad de la información. El problema se notó por primera vez en Europa en 2014; poco después se extendió a las regiones asiáticas. Europol advirtió en 2017 que los ataques a los cajeros automáticos que incluían la técnica de jackpot estaban en aumento, lo que aumentaba significativamente la escala y el alcance de los ataques contra los cajeros automáticos.
En enero de 2018, EE. UU. Presenció el primer ataque de jackpot contra cajeros automáticos. El Servicio Secreto emitió una alerta de seguridad y se lanzó una operación mundial contra los miembros del notorio grupo Carbanak, que se cree está involucrado en ataques a cajeros automáticos y robo de más de 1,24 millones de dólares.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
