miércoles, 20 de marzo de 2013

Historia del malware en cajeros automáticos: Ahora en América Latina (II)

El malware en cajeros automáticos no es nuevo, periódicamente aparecen noticias al respecto. La novedad en esta ocasión es que si bien se había detectado este tipo de malware en las cunas del crimen en Internet (Rusia y Brasil), en 2012 también se han detectado estas amenazas en cajeros automáticos de América Latina.

Un troyano para cajeros automáticos se enfrenta a dos retos principalmente para que sea lucrativo para el atacante.

  • Los cajeros automáticos no suelen tener conexión a Internet ni usuario que interactúe. Esto impide su infección sencilla y la recogida inmediata de información. Lo suelen suplir con la introducción de memorias USB en los propios cajeros, retirando la carcasa y accediendo a los puertos correspondientes. Aunque suene extraño, se puede hacer, sobre todo en cajeros poco concurridos.
         
  • Se debe entender perfectamente el funcionamiento del software que corre en el cajero, normalmente proporcionado por diferentes empresas. En los últimos años, los atacantes parecen centrados en la compañía Diebold. Los datos que interesan al atacante son tomados de la memoria de los procesos de los programas "legítimos", y por tanto se debe conocer perfectamente cómo funcionan y sus formatos.


El malware detectado en Rusia en 2009 no era nada genérico. De hecho, fue compleja su detección, casi por casualidad. Los cajeros no suelen estar dotados de antivirus, y aunque lo hubieran estado, el comportamiento del malware era tan poco habitual, tan específico, que no era cazado por firmas por ningún motor. Las casas antivirus no tuvieron acceso sencillo a las muestras y, aunque lo hubieran tenido, para funcionar y entender completamente su funcionamiento era igualmente necesario disponer del software específico del cajero, algo no tan sencillo. No solo porque es privado y de pago, sino porque requiere de un hardware también muy específico (lectores, teclados numéricos, etc.) al que los analistas no suelen tener acceso.

Estas dificultades también deben ser superadas por los atacantes. Por tanto, existe un mercado negro de controladores y software oficiales de cajeros automáticos, dispositivos e incluso ingenieros que se dedican a estudiarlo para poder sacar de ellos toda la información.



  
Continuamos en la siguiente entrega.

Más información:

una-al-dia (18/03/2013) Historia del malware en cajeros automáticos: Ahora en América Latina (I)




Sergio de los Santos
Twitter: @ssantosv

No hay comentarios:

Publicar un comentario en la entrada