EADTrust

Kaspersky Lab analiza el malware ATMitch y su forma de robar dinero de cajeros automáticos

By on 5 abril, 2017
Kaspersky ATM

Kaspersky logoLos empleados de un banco descubrieron el cajero automático vacío: no había dinero, ni rastros de interacción física con la máquina, ni malware. Los expertos de Kaspersky Lab han pasado mucho tiempo analizando este caso para poder no sólo entender las herramientas utilizadas en el robo, sino también reproducir el ataque descubriendo la violación de la seguridad del banco.

En febrero de 2017, Kaspersky Lab publicó los resultados de una investigación sobre los misteriosos ataques contra bancos sin archivos: los cibercriminales utilizaban malware en la memoria (in memory) para infectar las redes bancarias.

La investigación comenzó cuando los especialistas forenses del banco recuperaron y compartieron con Kaspersky Lab dos archivos que contenían registros de malware en el disco duro del ATM (kl.txt y logfile.txt). Eran los únicos archivos que quedaban después del ataque: no era posible recuperar los ejecutables maliciosos porque tras el robo los cibercriminales habían limpiado el malware.

Dentro de los archivos de registro, los expertos fueron capaces de identificar partes de información en texto plano que les ayudó a crear una regla YARA para los repositorios públicos de malware y encontrar una muestra. Las reglas YARA, básicamente cadenas de búsqueda, ayudan a los analistas a encontrar, agrupar y categorizar muestras de malware relacionadas y establecer conexiones entre ellas basándose en patrones de actividad sospechosa en sistemas o redes que comparten similitudes. Tras un día de espera, los expertos encontraron una muestra de malware – “tv.dll”, o “ATMitch”- que ya se había visto otras dos veces más: una vez de Kazajstán y otra en Rusia.

Este malware se instala y ejecuta remotamente en un cajero automático desde el banco de destino. Una vez instalado y conectado al ATM, el malware ATMitch se comunica como si fuera un software legítimo. Permite a los atacantes llevar a cabo una lista de comandos, como recopilar información sobre el número de billetes en los casetes del cajero y proporciona a los cibercriminales la capacidad de distribuir dinero en cualquier momento, con sólo tocar un botón.

Por lo general, los cibercriminales empiezan por obtener información sobre la cantidad de dinero que tiene el cajero. Después de eso, envían una orden para dispensar un número de billetes concretos. Después de retirar el dinero de esta curiosa manera, los criminales sólo tienen que huir. Una vez robado el ATM, el malware elimina sus trazas.

¿Quién está ahí?

Todavía no se sabe quién está detrás de los ataques. El uso de código de explotación abierto, utilidades comunes de Windows y dominios desconocidos durante la primera etapa de la operación hace que sea casi imposible determinar el grupo responsable. Sin embargo, “tv.dll”, usado en la etapa ATM del ataque contiene un recurso en ruso y los grupos conocidos que podrían encajar en este perfil son GCMAN y Carbanak.

www.kaspersky.es

Deja un comentario