Análisis de malware
Malware de jackpot
5 de marzo de por Daniel Dimov
Introducción
El malware Jackpotting no es muy conocido porque se dirige exclusivamente a cajeros automáticos (ATM). Esto significa que normalmente no afecta directamente a un gran número de personas. Sin embargo, este tipo de malware puede dañar gravemente la reputación y la estabilidad financiera de los bancos propietarios de los cajeros automáticos pirateados.
Por ejemplo, entre febrero y noviembre de se llevaron a cabo al menos 10 ataques de jackpotting en el estado alemán de Renania del Norte-Westfalia. Como resultado de esos ataques, los piratas informáticos robaron 1,4 millones de euros (alrededor de 1,5 millones de dólares).
Antes de continuar con el examen del malware de jackpot, debemos aclarar el término «malware de jackpot». En palabras simples, se trata de malware que permite a los estafadores obligar a los cajeros automáticos a dispensar efectivo sin reflejar las transacciones de retiro en ninguna cuenta bancaria.
En este artículo, examinaremos dos de los tipos de malware jackpotting más conocidos: Ploutus y Cutlet Maker. También analizaremos el funcionamiento del malware jackpotting y brindaremos recomendaciones sobre cómo los bancos pueden protegerse contra él.
Fabricante de ploutus y chuletas
Ploutus se descubrió por primera vez en México en. La primera versión de Ploutus tuvo que instalarse en un cajero automático insertando un CD en el CD-ROM del cajero automático. La versión de, llamada Backdoor.Ploutus.B, se distribuía a través de un teléfono móvil. Esta distribución también se conoce como anclaje a red USB.
En, los creadores de Ploutus lanzaron una nueva versión llamada Ploutus-D. Ploutus-D se puede instalar obteniendo acceso físico a la parte superior del cajero automático respectivo. Ploutus-D existe con varias modificaciones que le permiten funcionar en máquinas de 41 proveedores diferentes de cajeros automáticos en 80 países. Un representante de la empresa de seguridad FireEye llamó a Ploutus-D «una de las familias de malware para cajeros automáticos más avanzadas que hemos visto en los últimos años».
Cutlet Maker se vendió originalmente en Internet, pero luego estuvo disponible gratuitamente. Infecta cajeros automáticos a través de una memoria USB. El dispositivo y un teclado externo deben estar conectados a un cajero automático para que se infecte.
El malware no es complejo. Una característica específica de Cutlet Maker es que, después de ser instalado en un cajero automático, aparecerá el siguiente mensaje en la pantalla de la máquina pirateada: “¡Ho-ho-ho! ¡Hagamos unas chuletas hoy! El mensaje incluye una caricatura de un chef y un trozo de carne.
El funcionamiento del malware jackpotting
El primer paso hacia el éxito del malware jackpotting es obtener acceso físico al cajero automático objetivo. Para ello, los estafadores suelen vestirse como técnicos de cajeros automáticos para evitar llamar la atención. En algunos casos, los delincuentes también utilizan un endoscopio, un instrumento que permite a los médicos mirar dentro del cuerpo humano y encontrar puertos de computadora dentro del cajero automático objetivo.
El segundo paso es la activación del malware jackpotting. Esto generalmente se hace usando el teclado del cajero automático pirateado o enviándole comandos SMS. Este último método es mucho más conveniente porque funciona casi instantáneamente y brinda a los delincuentes la oportunidad de realizar sus operaciones maliciosas sin la necesidad de exponerse públicamente.
El tercer paso consiste en retirar el dinero robado del cajero automático pirateado. Esto lo suelen hacer mulas de dinero, personas que realizan operaciones de alto riesgo siguiendo instrucciones de delincuentes. Muchas mulas de dinero pueden ser jóvenes que normalmente no son muy conscientes de las consecuencias de sus acciones. Por ejemplo, un informe de la policía del Reino Unido indica que el 36% de las mulas de dinero que participan en el blanqueo de dinero eran personas menores de 21 años.
Las mulas de dinero se pueden dividir en tres categorías: mulas ignorantes, mulas ingeniosas y mulas cómplices. Las mulas ignorantes no saben en absoluto que están involucradas en actividades delictivas. Las mulas inteligentes han notado señales (por ejemplo, mensajes de advertencia de los bancos) que indican que están involucradas en actividades delictivas pero, aun así, han decidido seguir adelante. Las mulas cómplices son muy conscientes de su participación en planes criminales.
Protección contra malware de jackpotting
Los bancos que deseen proteger sus cajeros automáticos contra el malware de jackpot deben tomar al menos las siguientes medidas:
- Instalación y mantenimiento de software antimalware actualizado
- Bloquear los sistemas de cajeros automáticos para evitar la carga de programas no autorizados.
- Deshabilitar las funciones de inicio y ejecución automática
- Asegurarse de que los cajeros automáticos no incluyan contraseñas predeterminadas. Las contraseñas predeterminadas se pueden encontrar en manuales de instrucciones que generalmente están disponibles públicamente.
- Mejorar la seguridad física de los cajeros automáticos, por ejemplo, instalando cámaras de seguridad junto a los cajeros automáticos y contratando agentes de seguridad para monitorear esas cámaras.
Conclusión
El número de ciberataques que se basan en malware de jackpot ha aumentado en los últimos años. En este artículo, examinamos sólo dos tipos de malware de jackpotting: Ploutus y Cutlet Maker. Sin embargo, actualmente existen muchos otros tipos (por ejemplo, WinPot, virus Tyupkin y Prilex). Todas estas aplicaciones de malware tienen el potencial de vaciar rápidamente una gran cantidad de cajeros automáticos.
Como se muestra arriba, el funcionamiento del malware jackpotting es bastante simple. Consta de tres pasos: instalar el malware, activarlo y recaudar las ganancias del delito. El método más eficaz para evitar infecciones con malware jackpotting es evitar que los delincuentes completen el primer paso. Esto se puede hacer tomando medidas de seguridad física y de aplicación.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Fuentes
- Jackpotting en cajeros automáticos: cómo proteger sus máquinas , PaymentsJournal
- Hackear cajeros automáticos se ha vuelto tan fácil que el malware es un juego , Wired
- UE: Los ataques con jackpotting en cajeros automáticos ganaron a los delincuentes menos de 1.000 euros en el primer semestre de , ZDNet
- El malware que escupe dinero en efectivo de los cajeros automáticos se ha extendido por todo el mundo , Vice
- Yo era una ‘mula del dinero’ adolescente , BBC Money News
- Los primeros ataques de ‘Jackpotting’ afectan a los cajeros automáticos de EE. UU. , Krebs sobre la seguridad
- Plutón , NJCCIC
- Máquina para hacer chuletas , NJCCIC
- Nueva variante de malware para cajeros automáticos Ploutus observada en estado salvaje en América Latina , FireEye
- Nuevo malware piratea cajeros automáticos para escupir dinero gratis , TechRadar
- Lewis, T., ‘ Protección de infraestructura crítica en seguridad nacional: defensa de una nación en red ‘, John Wiley Sons,