La última amenaza descubierta por los expertos en seguridad en Proofpoint es "GreenDispenser", un malware que presenta muchas similitudes con el malware Tyupkin.
El uso de códigos maliciosos para hackear ATM es aún más común en el ecosistema criminal, en el pasado expertos en seguridad han descubierto varias familias de malware que han sido diseñadas con esta intención.
Malware para ATM como Tyupkin, Ploutus, PadPin y SUCEFUL son algunas muestras de este tipo de amenaza que permitía a los hackers robar dinero en efectivo directamente de los cajeros automáticos.
La última amenaza descubierta por los expertos en seguridad en Proofpoint es "GreenDispenser", un malware que presenta muchas similitudes con el malware Tyupkin.
La instalación de GreenDispenser requiere acceso físico a la ATM objetivo, entonces el atacante puede instruir a la máquina directamente desde el teclado de PIN y ordenarle a la máquina entregar efectivo.
"GreenDispenser ofrece al atacante la capacidad de caminar hasta un cajero automático infectado y vaciar su bóveda de efectivo. Una vez instalado, GreenDispenser puede mostrar un mensaje de 'fuera de servicio' en el cajero automático - pero los atacantes que ingresan los códigos PIN correctos entonces puede drenar la bóveda de dinero en efectivo de los cajeros automáticos y borrar GreenDispenser utilizando un proceso de eliminación profundo, dejando poco o ningún rastro de cómo el cajero automático fue robado." afirman los expertos de Proofpoint.
Al igual que en otros tipos de malware de ATM, GreenDispenser implementa las XFS, la extensión de la biblioteca Servicios Financieros DLL (MSXFS.dll) que se utiliza específicamente por cajeros automáticos. La biblioteca proporciona una API especial para la comunicación con teclado de PIN del cajero automático y el dispensador de efectivo.
Los expertos destacaron que GreenDispenser representa una evolución del malware Tyupkin, el menú que se utiliza para controlar el cajero automático está protegido por un mecanismo de autenticación de dos factores (2FA) y el malware está diseñado para funcionar únicamente durante un periodo limitado de tiempo.
De acuerdo con Proofpoint, el primer PIN esta hardcoded (es decir, se encuentra establecido dentro del código) mientras que, el segundo código se obtiene mediante la decodificación de un código QR que aparece en la pantalla. Los investigadores creen que los delincuentes cibernéticos probablemente utilizan una aplicación móvil para decodificar el código QR y obtener el código de autenticación dinámico.
El malware GreenDispenser ATM intenta obtener los nombres del PIN pad y el dispensador de efectivo mediante la consulta de ubicación específica del registro, si este método no funciona, este intenta los nombres por defecto "Pinpad1" y "CurrencyDispenser1."
Una vez que el estafador se autentica al cajero automático, la máquina muestra un menú que se utiliza para distribuir el dinero así como desinstalar el malware.
El malware GreenDispenser ATM comprueba la fecha actual antes de ejecutar, que está diseñado para funcionar en el año 2015 y el mes debe ser ot antes de septiembre. La característica ha sido implementada para desactivar el malware y evitar la detección.
Los expertos no tienen duda, el cajero automático continuará siendo un instrumento privilegiado para los delincuentes que mejoran su código malicioso para evitar la detección.
"El malware ATM sigue evolucionando, con la adición de características sigilosas y la posibilidad de abarcar hardware de ATM de múltiples proveedores", afirma Proofpoint.
El uso de códigos maliciosos para hackear ATM es aún más común en el ecosistema criminal, en el pasado expertos en seguridad han descubierto varias familias de malware que han sido diseñadas con esta intención.
Malware para ATM como Tyupkin, Ploutus, PadPin y SUCEFUL son algunas muestras de este tipo de amenaza que permitía a los hackers robar dinero en efectivo directamente de los cajeros automáticos.
La última amenaza descubierta por los expertos en seguridad en Proofpoint es "GreenDispenser", un malware que presenta muchas similitudes con el malware Tyupkin.
La instalación de GreenDispenser requiere acceso físico a la ATM objetivo, entonces el atacante puede instruir a la máquina directamente desde el teclado de PIN y ordenarle a la máquina entregar efectivo.
"GreenDispenser ofrece al atacante la capacidad de caminar hasta un cajero automático infectado y vaciar su bóveda de efectivo. Una vez instalado, GreenDispenser puede mostrar un mensaje de 'fuera de servicio' en el cajero automático - pero los atacantes que ingresan los códigos PIN correctos entonces puede drenar la bóveda de dinero en efectivo de los cajeros automáticos y borrar GreenDispenser utilizando un proceso de eliminación profundo, dejando poco o ningún rastro de cómo el cajero automático fue robado." afirman los expertos de Proofpoint.
Al igual que en otros tipos de malware de ATM, GreenDispenser implementa las XFS, la extensión de la biblioteca Servicios Financieros DLL (MSXFS.dll) que se utiliza específicamente por cajeros automáticos. La biblioteca proporciona una API especial para la comunicación con teclado de PIN del cajero automático y el dispensador de efectivo.
 |
| Librería utilizada específicamente en ATMs |
De acuerdo con Proofpoint, el primer PIN esta hardcoded (es decir, se encuentra establecido dentro del código) mientras que, el segundo código se obtiene mediante la decodificación de un código QR que aparece en la pantalla. Los investigadores creen que los delincuentes cibernéticos probablemente utilizan una aplicación móvil para decodificar el código QR y obtener el código de autenticación dinámico.
 |
| Código QR utilizado como doble factor de autenticación |
Una vez que el estafador se autentica al cajero automático, la máquina muestra un menú que se utiliza para distribuir el dinero así como desinstalar el malware.
El malware GreenDispenser ATM comprueba la fecha actual antes de ejecutar, que está diseñado para funcionar en el año 2015 y el mes debe ser ot antes de septiembre. La característica ha sido implementada para desactivar el malware y evitar la detección.
 |
| Malware comprueba la fecha |
"El malware ATM sigue evolucionando, con la adición de características sigilosas y la posibilidad de abarcar hardware de ATM de múltiples proveedores", afirma Proofpoint.
