Historia del malware en cajeros automáticos: Ahora en América Latina (y III)

Después del escándalo en 2009 en Rusia, a principios de 2010 se observó este fenómeno en Brasil, y se llamó “chupa-cabra“. Este volvía a ser un malware perfectamente diseñado para su finalidad. En estos cajeros, los datos viajaban a través del puerto serie o USB a otro dispositivo, y ahí es donde atacaban, puesto que se trataba del punto más sencillo donde recuperar la información de la tarjeta. Para obtener el PIN, también instalaban un keylogger en el sistema.

Para instalar este tipo de malware, los atacantes debían introducir un USB en el cajero. Existe un vídeo en el que se observa a varios individuos captados por una cámara de seguridad en Brasil. El USB tenía un instalador del malware y el “autorun” del sistema podía hacer el resto para preparar todo el entorno. Si no, la configuración por defecto de los sistemas (contraseñas en blanco o conocidas por los fabricantes también permitirían instalar el malware.

Los atacantes debían volver luego a recuperar la información almacenada en el disco (cifrada, habitualmente). Para ello o bien lo hacían ellos mismos o pagaban a muleros para que fueran captados por las cámaras de seguridad ante cualquier problema.

En América Latina, se ha observado durante 2012 un incremento de la actividad en este sentido, con dos tipos diferentes de malware en cajeros. Uno de ellos más sencillo (destinado a la marca Wincor), y otro más complejo (destinado a Diebold). Este último parece una variación específica del malware original encontrado en Rusia en 2009, que ataca al software Agilis de Diebold específicamente (del que se filtró en un momento dado un manual de funcionamiento interno). Si bien este software no es vulnerable en sí mismo, los programadores deben estudiarlo y conocerlo internamente para poder robar la información y aprovechar los datos.

En los últimos meses, se ha detectado este malware en Paises de Centroamérica  y otros países de América Latina en menor medida, donde la alerta ha saltado a raíz del gran número de tarjetas clonadas que estaban apareciendo.

El primer malware encontrado, de una complejidad menor, está programado en Visual Basic y ataca a la marca Wincor. Se instala como servicio para poder arrancarse en cada reinicio, con nombres muy disimulados para que pueda parecer a simple vista que se trata de un servicio legítimo del sistema (Windows XP). El programa captura la información del cajero (también a través de keylogger) y la almacena en ficheros codificados (con el algoritmo Huffman). Se almacenaba en c:\windows\system32\ simulando nombres habituales del sistema. Su funcionalidad básica parece la de buscar logs del cajero y descifrarlos para obtener los datos.

El segundo malware encontrado, de una complejidad mayor, está programado específicamente contra el software de Diebold. Se inyecta en procesos concretos del software del cajero y extrae la información necesaria. Entender el funcionamiento de este malware es muy complejo, puesto que requiere de altos conocimientos del software y hardware del cajero.

Los cajeros suelen estar aislados de Internet, pero esto no los aísla del malware. Una pobre configuración de los equipos también ayuda a los atacantes en estos casos: aunque tengan acceso físico a la máquina, existen formas de impedir que se ejecute, instale, y funcione software desconocidos en estas máquinas. También la configuración efectiva del sistema y el uso adecuado de las cámaras de vigilancia podrían mitigar el riesgo.

una-al-dia (18/03/2013) Historia del malware en cajeros automáticos: Ahora en América Latina (I)

una-al-dia (20/03/2013) Historia del malware en cajeros automáticos: Ahora en América Latina (II)

Sergio de los Santos

Twitter: @ssantosv