La compañía de ciberseguridad Kaspersky Lab ha detectado un malware especializado en la infección de los PC que se utilizan para el funcionamiento de los cajeros automáticos (ATM). Este virus se encontraba a la venta en el mercado de la ‘darkweb’ AlphaBay, junto con un completo tutorial con instrucciones para hacerlo funcionar.
A través de un comunicado, la firma rusa ha alertado de que los cajeros automáticos siguen siendo «muy lucrativos» para los cibercriminales, ya que la infección de estos dispositivos con malware facilita la manipulación del efectivo desde el interior.
Aunque estas herramientas maliciosas llevan tiempo en circulación, Kaspersky Lab ha afirmado que los creadores están invirtiendo «cantidad de recursos» en hacer que este malware pueda estar al alcance de otros criminales menos familiarizados con la informática.
Así, la empresa de ciberseguridad detectó a comienzos del presente año, a través de uno de sus socios, un malware hasta ese momento desconocido y que presumiblemente se había elaborado con la intención de infectar los PC que se utilizan para que los cajeros puedan realizar su función.
Los analistas de la firma rusa encontraron en AlphaBay, un lugar muy popular de la ‘darkweb’, un anuncio que describía un tipo de malware para ATMs y que coincidía con el elemento buscado. Este anuncio revelaba que este virus pertenecía a un ‘kit’ de malware comercial creado para hacerse con el dinero almacenado en los cajeros.
Un mensaje público del vendedor contenía no solo la descripción del malware y las instrucciones de cómo conseguirlo, «sino que también ofrecía toda una guía detallada de cómo debía utilizarse el ‘kit’ para realizar ataques, con instrucciones y hasta tutoriales en vídeo».
Un malware formado por varias ‘piezas’
Según los resultados de la investigación, se vio que el conjunto del malware estaba formado por el software Cutlet Maker, que sirve como modulo principal responsable de la comunicación con el dispensador de efectivo; el programa c0decalc, diseñado para generar contraseñas y hacer que funcione Cutlet Maker, así como protegerla frente a un uso no autorizado; y la aplicación Stimulator, que permite ahorrar tiempo a los criminales gracias a la identificación de la situación de los cofres o contenedores de efectivo, así como la identificación de aquellos con mayor cantidad de dinero.
Para empezar a robar, los criminales necesitan tener acceso directo al interior de los cajeros y así poder conectar un dispositivo USB con el software. Como primer paso, los criminales instalan Cutlet Maker. Como existe una contraseña protegida, utilizan el programa cOdecalc, instalado en otro dispositivo.
Esta clave es una especie de protección de derechos de autor, instalada por los autores de Cutlet Maker para prevenir que otros criminales lo utilicen gratuitamente. Después de que el código se genere, los criminales lo introducen en el interfaz de Cutlet Maker e inician la extracción de fondos.
Cutlet Maker está en el mercado desde el pasado 27 de marzo, aunque según Kaspersky Lab, los analistas ya habían empezado a seguirlo en junio de 2016, cuando fue identificado en un servicio público multiescáner de Ucrania, pero posteriormente llegaron nuevos casos desde otros países.
Se desconoce si el malware había sido utilizado previamente, pero las instrucciones que se incluían en el ‘kit’ contenían vídeos que fueron presentados por sus autores como pruebas reales de su eficiencia. Tampoco se sabe quién se encuentra detrás de este malware, pero el idioma, la gramática y los errores de estilo en los textos del ‘kit’ apuntan a que sus potenciales vendedores son personas cuyo idioma nativo no es el inglés.
El analista de seguridad de Kaspersky Lab, Konstantin Zykov, ha explicado que Cutlet Maker no requiere que el criminal tenga un conocimiento técnico informático avanzado ni profesional, lo que permite que el hackeo de un ATM «pase de ser una operación ofensiva sofisticada a otro modo ilegal más de robar dinero, y al alcance de prácticamente todo el mundo que tenga unos pocos miles de dólares para comprar el malware».
En ese sentido, Zykov ha añadido que se trata de «una amenaza potencialmente muy peligrosa para las entidades financieras», ya que mientras opera, este programa no halla ningún elemento de seguridad que lo impida.
Para proteger los cajeros automáticos, los especialistas de Kaspersky Lab han recomendado a los equipos de seguridad de las organizaciones que implementen por defecto una política «muy estricta» de denegación, permitan mecanismos de control que restrinjan la conexión al ATM de cualquier dispositivo no autorizado y utilicen una solución específica de seguridad.