El malware en cajeros automáticos no es nuevo, periódicamente aparecen noticias al respecto. La novedad en esta ocasión es que si bien se había detectado este tipo de malware en las cunas del crimen en …

 Internet (Rusia y Brasil), en 2012 también se han detectado estas amenazas en cajeros automáticos de América Latina. 

Brasil: Chupa-Cabra 

 
Después del escándalo en 2009 en Rusia, a principios de 2010 se observó este fenómeno en Brasil, y se llamó "chupa-cabra". Este volvía a ser un malware perfectamente diseñado para su finalidad. En estos cajeros, los datos viajaban a través del puerto serie o USB a otro dispositivo, y ahí es donde atacaban, puesto que se trataba del punto más sencillo donde recuperar la información de la tarjeta. Para obtener el PIN, también instalaban un keylogger en el sistema. 
 
Para instalar este tipo de malware, los atacantes debían introducir un USB en el cajero. Existe un vídeo en el que se observa a varios individuos captados por una cámara de seguridad en Brasil. El USB tenía un instalador del malware y el "autorun" del sistema podía hacer el resto para preparar todo el entorno. Si no, la configuración por defecto de los sistemas (contraseñas en blanco o conocidas por los fabricantes también permitirían instalar el malware. 
 
Los atacantes debían volver luego a recuperar la información almacenada en el disco (cifrada, habitualmente). Para ello o bien lo hacían ellos mismos o pagaban a muleros para que fueran captados por las cámaras de seguridad ante cualquier problema. 
 
América Latina 
 
En América Latina, se ha observado durante 2012 un incremento de la actividad en este sentido, con dos tipos diferentes de malware en cajeros. Uno de ellos más sencillo (destinado a la marca Wincor), y otro más complejo (destinado a Diebold). Este último parece una variación específica del malware original encontrado en Rusia en 2009, que ataca al software Agilis de Diebold específicamente (del que se filtró en un momento dado un manual de funcionamiento interno). Si bien este software no es vulnerable en sí mismo, los programadores deben estudiarlo y conocerlo internamente para poder robar la información y aprovechar los datos. 
 
En los últimos meses, se ha detectado este malware en Centroamérica y otros países de América Latina en menor medida, donde la alerta ha saltado a raíz del gran número de tarjetas clonadas que estaban apareciendo. 
 
Dos tipos de malware 
 
El primer malware encontrado, de una complejidad menor, está programado en Visual Basic y ataca a la marca Wincor. Se instala como servicio para poder arrancarse en cada reinicio, con nombres muy disimulados para que pueda parecer a simple vista que se trata de un servicio legítimo del sistema (Windows XP). El programa captura la información del cajero (también a través de keylogger) y la almacena en ficheros codificados (con el algoritmo Huffman). Se almacenaba en c:windowssystem32 simulando nombres habituales del sistema. Su funcionalidad básica parece la de buscar logs del cajero y descifrarlos para obtener los datos. 
 
El segundo malware encontrado, de una complejidad mayor, está programado específicamente contra el software de Diebold. Se inyecta en procesos concretos del software del cajero y extrae la información necesaria. 
Entender el funcionamiento de este malware es muy complejo, puesto que requiere de altos conocimientos del software y hardware del cajero. 
 
Conclusiones 
 
Los cajeros suelen estar aislados de Internet, pero esto no los aísla del malware. Una pobre configuración de los equipos también ayuda a los atacantes en estos casos: aunque tengan acceso físico a la máquina, existen formas de impedir que se ejecute, instale, y funcione software desconocidos en estas máquinas. También la configuración efectiva del sistema y el uso adecuado de las cámaras de vigilancia podrían mitigar el riesgo. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/03/historia-del-malware-en-cajeros_22.html#comments
 
Más información:
 
The ‘Chupa Cabra’ malware: attacks on payment Devices http://www.securelist.com/en/blog/208193370/The_Chupa_Cabra_malware_attacks_on_payment_devices
 
una-al-dia (18/03/2013) Historia del malware en cajeros automáticos: Ahora en América Latina (I) http://unaaldia.hispasec.com/2013/03/historia-del-malware-en-cajeros.html
 
una-al-dia (20/03/2013) Historia del malware en cajeros automáticos: Ahora en América Latina (II) http://unaaldia.hispasec.com/2013/03/historia-del-malware-en-cajeros_20.html

Fuente:
Sergio de los Santos
ssantos@hispasec.com
twitter: @ssantosv
Laboratorio Hispasec
www.hispasec.com

Imagen: 
Fotos Digitales Gratis
www.fotosdigitalesgratis.com
 
Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar