Aquest virus es trobava a la venda al mercat de la 'darkweb' AlphaBay
La companyia de ciberseguretat Kaspersky Lab ha detectat un 'malware' especialitzat en la infecció dels PC que s'utilitzen per al funcionament dels caixers automàtics (ATM). Aquest virus es trobava a la venda al mercat de la 'darkweb' AlphaBay, juntament amb un complet tutorial amb instruccions per fer-ho.
A través d'un comunicat, la companyia russa ha alertat que els caixers automàtics continuen sent "molt lucratius" per als cibercriminals, ja que la infecció d'aquests dispositius amb 'malware' facilita la manipulació de l'efectiu des de l'interior.
Encara que aquestes eines malicioses fa temps que estan en circulació, Kaspersky Lab ha afirmat que els creadors estan invertint "quantitat de recursos" per fer que aquest 'malware' pugui estar a l'abast d'altres criminals menys familiaritzats amb la informàtica.
Així, l'empresa de ciberseguretat va detectar al començament del present any, a través d'un dels seus socis, un 'malware' fins a aquest moment desconegut i que presumiblement s'havia elaborat amb la intenció d'infectar els PC que s'utilitzen perquè els caixers puguin realitzar la seva funció.
Els analistes de la companyia russa van trobar en AlphaBay, un lloc molt popular de la 'darkweb', un anunci que descrivia un tipus de 'malware' per ATMs i que coincidia amb l'element buscat. Aquest anunci revelava que aquest virus pertanyia a un 'kit' de 'malware' comercial creat per fer-se amb els diners emmagatzemat als caixers.
Un missatge públic de venedor contenia no només la descripció del 'malware' i les instruccions de com aconseguir-ho, "sinó que també oferia tota una guia detallada de com s’havia d’utilitzar el 'kit' per realitzar atacs, amb instruccions i fins i tot amb tutorials en vídeo" .
Es desconeix si el 'malware' havia estat utilitzat prèviament, però les instruccions que s'incloïen al 'kit' contenien vídeos que van ser presentats pels seus autors com a proves reals de la seva eficiència
Segons els resultats de la investigació, es va veure que el conjunt del 'malware' estava format pel 'software' cutlet Maker, que serveix com mòdul principal responsable de la comunicació amb el dispensador d'efectiu; el programa c0decalc, dissenyat per generar contrasenyes i fer que funcioni cutlet Maker, així com protegir-la enfront d'un ús no autoritzat; i l'aplicació Stimulator, que permet estalviar temps als criminals gràcies a la identificació de la situació dels cofres o contenidors d'efectiu, així com la identificació d'aquells amb major quantitat de diners.
Per començar a robar, els criminals necessiten tenir accés directe a l'interior dels caixers i així poder connectar un dispositiu USB amb el 'software'. Com a primer pas, els criminals instal·len cutlet Maker. Com existeix una contrasenya protegida, utilitzen el programa cOdecalc, instal·lat en un altre dispositiu.
Aquesta clau és una espècie de protecció de drets d'autor, instal·lada pels autors de cutlet Maker per evitar que altres criminals l'utilitzin gratuïtament. Després que el codi es generi, els criminals ho introdueixen a la interfície de cutlet Maker i inicien l'extracció de fons.
Cutlet Maker és al mercat des del passat 27 de març, tot i que segons Kaspersky Lab, els analistes ja havien començat a seguir-lo al juny de 2016, quan va ser identificat en un servei públic multiescàner d'Ucraïna, però posteriorment van arribar nous casos des d'altres països.
Es desconeix si el 'malware' havia estat utilitzat prèviament, però les instruccions que s'incloïen al 'kit' contenien vídeos que van ser presentats pels seus autors com a proves reals de la seva eficiència. Tampoc se sap qui es troba darrere d'aquest 'malware', però l'idioma, la gramàtica i els errors d'estil als textos del 'kit' apunten que els seus potencials venedors són persones l’idioma natiu dels quals no és l'anglès.
L'analista de seguretat de Kaspersky Lab, Konstantin Zykov, ha explicat que cutlet Maker no requereix que el criminal tingui un coneixement tècnic informàtic avançat ni professional, el que permet que el 'hackeig' d'un ATM "passi de ser una operació ofensiva sofisticada a una altra manera il·legal més de robar diners, i a l'abast de pràcticament tothom que tingui uns pocs milers de dòlars per comprar el 'malware'".
En aquest sentit, Zykov ha afegit que es tracta d'"una amenaça potencialment molt perillosa per a les entitats financeres", ja que mentre opera, aquest programa no troba cap element de seguretat que ho impedeixi.
Per protegir els caixers automàtics, els especialistes de Kaspersky Lab han recomanat als equips de seguretat de les organitzacions que implementin per defecte una política "molt estricta" de denegació, permetin mecanismes de control que restringeixin la connexió al ATM de qualsevol dispositiu no autoritzat i utilitzin una solució específica de seguretat.