Investigadores de
Kaspersky recibieron en Abril de 2017 una muestra correspondiente a un malware
cuyo objetivo era robar dinero de cajeros automáticos, de ahora en adelante
ATM.
Este malware conocido
como ATMii, requiere de acceso a un cajero ya sea a través de red o físicamente
(vía USB). En caso de instalarse con éxito, los ladrones podrán sacar todo el
dinero del cajero.
Se trata de un
malware sencillo a la par que efectivo, compuesto por un ejecutable que hace de
inyector y una DLL que cuenta con la funcionalidad del troyano. Debido a que el
valor de la constante PROCESS_ALL_ACCESS difiere entre versiones de Windows, no
se ejecuta en versiones XP a pesar de ser la más utilizada aún.
Los cajeros funcionan
bajo la arquitectura XFS, por lo que primero el malware debe encontrar el
servicio que se encargue de dispensar dinero. En caso de exito, la información
se guardará en un log como podremos ver a continuación.
Los atacantes
necesitan saber el contenido de los cartuchos, por tanto implementan el comando
info para obtener dicha información.
El comando cmd_disp
se utiliza para obtener el dinero del cajero. Los argumentos de la función son
concretamente la cantidad y la moneda. La moneda se recoge en un struct y solo
acepta aquellas recogidas en el.
Este malware es un
ejemplo de lo que los criminales son capaces de hacer con muy poco código. Como
medidas cautelares, una gestión control de los dispositivos y politicas
permitirian no ejecutar dispositivos USB o prevenir la ejecución de código no
autorizado
Más información:
ATMii: a small but
effective ATM robber:
Fuente: Hispasec