Llegamos a ustedes gracias a:



Alertas de Seguridad

Nuevo malware tiene en la mira

A cajeros automáticos de América Latina

[04/07/2019] Kaspersky ha descubierto una nueva muestra de malware especializado en ataques a cajeros automáticos (ATMs), cuya actividad ha sido detectada en Colombia y México. Después de un breve análisis, Kasperky señala que quedó claro que el objetivo de ATMJaDi, como fue bautizado, es vaciar los cajeros automáticos infectados. Además, según analistas de la empresa, el hecho que los ataques de este malware se centran en un subconjunto específico de ATMs sugiere que posiblemente este haya sido creado por insiders o empleados corruptos del banco.

"Tal como sucede con la mayoría de los programas maliciosos para cajeros automáticos, los atacantes detrás de ATMJaDi deben encontrar una manera de instalar el malware. Al analizar el código, notamos que éste no puede ser controlado mediante el teclado o la pantalla táctil de las máquinas, pero que es capaz de enviar comandos personalizados para dispensar dinero de las ATMs. Este descubrimiento sugiere que el grupo detrás de ATMJaDi pudo haber sido desarrollado por insiders con acceso al código fuente de un banco en particular y, por ende, a la red donde están conectados los cajeros automáticos, comentó Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.

Una vez instalado, añadió el especialista, el malware, en forma de archivo Java con el nombre "INJX_PURE.jar, busca el proceso que controla al ATM para manipularlo e infectar la máquina por medio de comandos legítimos. Al completarse exitosamente la infección, el malware muestra la frase "libertad y gloria en la pantalla de la terminal en ruso, portugués, español y chino. El mensaje es seguido por la palabra rusa "?????????, la cual significa "separado. Sin embargo, la mayoría de las palabras encontradas en el código aparecen en inglés.  

"Los autores de ATMJaDi parecen haber incluido banderas falsas en forma de palabras y frases rusas para confundir a los especialistas sobre el verdadero origen del malware. De hecho, la mayoría de las palabras en el código están en inglés y las pocas palabras incluidas en otros idiomas se utilizan de manera inapropiada. Además, el hecho que el malware cuente con el mensaje en español y portugués es una gran alerta para los bancos de la región ya que tradicionalmente los ciberdelincuentes suelen vender malware entre sí para propagar la infección e incrementar sus ganancias, alertó Bestuzhev.

Otro detalle que llamó la atención de los investigadores es que el malware no utiliza sistemas estándar como XFS, JXFS o CSC, que comúnmente se encuentran en cajeros automáticos. En su lugar, el código del malware está escrito en un lenguaje de programación de Java, el cual no es comúnmente utilizado en programas maliciosos para ATMs pero tiene orígenes en América Latina."Estos procesos específicos del software controlan a los ATMs que corren en Java y segmentan la actividad a cajeros que corren bajo ese mismo software. Esta acción dirigida indica que los cibercriminales estudiaron detalladamente al blanco antes de programar el malware, anotó Bestuzhev.

Para protegerse de este ataque, Kaspersky ofrece los siguientes consejos:

  • Monitoree de cerca los dispositivos conectados con acceso a la red corporativa por medio de soluciones para endpoints.
  • Elimine los 'agujeros' de seguridad, especialmente aquellos que tienen que ver con la configuración inapropiada de redes.
  • Utilice soluciones especializadas que contrarresten amenazas avanzadas y sean capaces de detectar todo tipo de anomalías y escrudiñar las actividades sospechosas en la red de manera profunda para detectar, reconocer y descubrir ataques complejos.

"Además, los cajeros automáticos antiguos, que cuenten con una protección descontinuada o carezcan de una por completo, necesitan una solución que luche contra las amenazas modernas y tome en cuenta las especificaciones de estos dispositivos. Esta solución permite el aislamiento de derechos, lo que significa que hasta un especialista de TI local no podrá cambiar los ajustes de seguridad de la solución y deshabilitar la protección, finalizó Bestuzhev.