Kaspersky ha descubierto una nueva muestra de malware especializado en ataques a cajeros automáticos (ATMs), cuya actividad ha sido detectada en Colombia y México. Después de un breve análisis, quedó claro que el objetivo de ATMJaDi, como fue bautizado, es vaciar los cajeros automáticos infectados. Además, según analistas de la empresa, el hecho que los ataques de este malware se centran en un subconjunto específico de ATMs sugiere que posiblemente este haya sido creado por insiders o empleados corruptos del banco.
Tal como sucede con la mayoría de los programas maliciosos para cajeros automáticos, los atacantes detrás de ATMJaDi deben encontrar una manera de instalar el malware. Al analizar el código, los investigadores notaron que este no puede ser controlado mediante el teclado o la pantalla táctil de las máquinas pero que es capaz de enviar comandos personalizados para dispensar dinero de las ATMs. Este descubrimiento sugiere que el grupo detrás de ATMJaDi pudo haber sido desarrollado por insiders con acceso al código fuente de un banco en particular y por ende, a la red donde están conectados los cajeros automáticos.
Una vez instalado, el malware, en forma de archivo Java con el nombre “INJX_PURE.jar”, busca el proceso que controla al ATM para manipularlo e infectar la máquina por medio de comandos legítimos. Al completarse exitosamente la infección, el malware muestra la frase “libertad y gloria” en la pantalla de la terminal en ruso, portugués, español y chino. El mensaje es seguido por la palabra rusa «отдельный”, la cual significa “separado”. Sin embargo, la mayoría de las palabras encontradas en el código aparecen en inglés.
“Los autores de ATMJaDi parecen haber incluido banderas falsas en forma de palabras y frases rusas para confundir a los especialistas sobre el verdadero origen del malware. De hecho, la mayoría de las palabras en el código están en inglés y las pocas palabras incluidas en otros idiomas se utilizan de manera inapropiada “, afirma Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky. “Además, el hecho que el malware cuente con el mensaje en español y portugués es una gran alerta para los bancos de la región ya que tradicionalmente los ciberdelincuentes suelen vender malware entre sí para propagar la infección e incrementar sus ganancias”, alerta Bestuzhev.
Otro detalle que llamó la atención de los investigadores es que el malware no utiliza sistemas estándar como XFS, JXFS o CSC, que comúnmente se encuentran en cajeros automáticos. En su lugar, el código del malware está escrito en un lenguaje de programación de Java, el cual no es comúnmente utilizado en programas maliciosos para ATMs pero tiene orígenes en América Latina. Estos procesos específicos del software controlan a los ATMs que corren en Java y segmentan la actividad a cajeros que corren bajo ese mismo software. Esta acción dirigida indica que los cibercriminales estudiaron detalladamente al blanco antes de programar el malware.
Para protegerse de este ataque, Kaspersky ofrece los siguientes consejos:
- Monitoree de cerca los dispositivos conectados con acceso a la red corporativa por medio de soluciones para endpoints como Kaspersky Endpoint Security for Business.
- Elimine los ‘agujeros’ de seguridad, especialmente aquellos que tienen que ver con la configuración inapropiada de redes. El servicio Kaspersky Penetration Testing ofrece una solución altamente efectiva que no solo provee información sobre las vulnerabilidades detectadas pero también orienta a las organizaciones sobre cómo arreglar el problema, fortaleciendo así la seguridad corporativa.
- Utilice soluciones especializadas, como la plataforma Kaspersky Anti Targeted Attack, que contrarresten amenazas avanzadas y sean capaces de detectar todo tipo de anomalías y escrudiñar las actividades sospechosas en la red de manera profunda para detectar, reconocer y descubrir ataques complejos.
Además, los cajeros automáticos antiguos, que cuenten con una protección descontinuada o carezcan de una por completo, necesitan una solución robusta, tal como Kaspersky Embedded Systems Security, que luche contra las amenazas modernas y tome en cuenta las especificaciones de estos dispositivos. Esta solución permite el aislamiento de derechos, lo que significa que hasta un especialista de TI local no podrá cambiar los ajustes de seguridad de la solución y deshabilitar la protección.
Todas las soluciones de Kaspersky detectan y bloquean este malware identificado como Trojan.Java.Agent.rs.
Para más detalles sobre el malware ATMJaDi, visite Securelist.com.