viernes, 22 de marzo de 2013

Historia del malware en cajeros automáticos: Ahora en América Latina (y III)

El malware en cajeros automáticos no es nuevo, periódicamente aparecen noticias al respecto. La novedad en esta ocasión es que si bien se había detectado este tipo de malware en las cunas del crimen en Internet (Rusia y Brasil), en 2012 también se han detectado estas amenazas en cajeros automáticos de América Latina.

Brasil: Chupa-Cabra

Después del escándalo en 2009 en Rusia, a principios de 2010 se observó este fenómeno en Brasil, y se llamó "chupa-cabra". Este volvía a ser un malware perfectamente diseñado para su finalidad. En estos cajeros, los datos viajaban a través del puerto serie o USB a otro dispositivo, y ahí es donde atacaban, puesto que se trataba del punto más sencillo donde recuperar la información de la tarjeta. Para obtener el PIN, también instalaban un keylogger en el sistema.

Para instalar este tipo de malware, los atacantes debían introducir un USB en el cajero. Existe un vídeo en el que se observa a varios individuos captados por una cámara de seguridad en Brasil. El USB tenía un instalador del malware y el "autorun" del sistema podía hacer el resto para preparar todo el entorno. Si no, la configuración por defecto de los sistemas (contraseñas en blanco o conocidas por los fabricantes también permitirían instalar el malware.

Los atacantes debían volver luego a recuperar la información almacenada en el disco (cifrada, habitualmente). Para ello o bien lo hacían ellos mismos o pagaban a muleros para que fueran captados por las cámaras de seguridad ante cualquier problema.

América Latina

En América Latina, se ha observado durante 2012 un incremento de la actividad en este sentido, con dos tipos diferentes de malware en cajeros. Uno de ellos más sencillo (destinado a la marca Wincor), y otro más complejo (destinado a Diebold). Este último parece una variación específica del malware original encontrado en Rusia en 2009, que ataca al software Agilis de Diebold específicamente (del que se filtró en un momento dado un manual de funcionamiento interno). Si bien este software no es vulnerable en sí mismo, los programadores deben estudiarlo y conocerlo internamente para poder robar la información y aprovechar los datos.

En los últimos meses, se ha detectado este malware en Paises de Centroamérica  y otros países de América Latina en menor medida, donde la alerta ha saltado a raíz del gran número de tarjetas clonadas que estaban apareciendo.

Dos tipos de malware

El primer malware encontrado, de una complejidad menor, está programado en Visual Basic y ataca a la marca Wincor. Se instala como servicio para poder arrancarse en cada reinicio, con nombres muy disimulados para que pueda parecer a simple vista que se trata de un servicio legítimo del sistema (Windows XP). El programa captura la información del cajero (también a través de keylogger) y la almacena en ficheros codificados (con el algoritmo Huffman). Se almacenaba en c:\windows\system32\ simulando nombres habituales del sistema. Su funcionalidad básica parece la de buscar logs del cajero y descifrarlos para obtener los datos.

El segundo malware encontrado, de una complejidad mayor, está programado específicamente contra el software de Diebold. Se inyecta en procesos concretos del software del cajero y extrae la información necesaria. Entender el funcionamiento de este malware es muy complejo, puesto que requiere de altos conocimientos del software y hardware del cajero.

Conclusiones

Los cajeros suelen estar aislados de Internet, pero esto no los aísla del malware. Una pobre configuración de los equipos también ayuda a los atacantes en estos casos: aunque tengan acceso físico a la máquina, existen formas de impedir que se ejecute, instale, y funcione software desconocidos en estas máquinas. También la configuración efectiva del sistema y el uso adecuado de las cámaras de vigilancia podrían mitigar el riesgo.

Más información

The ‘Chupa Cabra’ malware: attacks on payment Devices

una-al-dia (18/03/2013) Historia del malware en cajeros automáticos: Ahora en América Latina (I)

una-al-dia (20/03/2013) Historia del malware en cajeros automáticos: Ahora en América Latina (II)



Sergio de los Santos
Twitter: @ssantosv

5 comentarios:

  1. Es muy común. Me paso y por eso deje de estar bancarizado.

    ResponderEliminar
  2. No hay duda de que manipular un cajero hoy en día es una gran fuente de ingresos para algunos, dado que la gente los necesita cada vez mas. Por eso mismo no uso tarjeta de crédito...

    ResponderEliminar
  3. No hay duda que hay lumbreras en todas partes.
    ¿A que estúpido mental se le ocurriría tener una red de Cajeros con Windows?

    ResponderEliminar
  4. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar
  5. Este comentario ha sido eliminado por un administrador del blog.

    ResponderEliminar