5 feb 2017

Alice: malware aplicado al jackpotting de cajeros electrónicos

El malware en cajeros automáticos (ATMs) es un asunto de gran actualidad y que genera una considerable preocupación en el sector bancario, ya que el número de ataques no para de crecer y apunta a toda clase de países y regiones.

En anteriores posts describíamos una nueva oleada de ataques orquestados de gran sofisticación donde la red interna de la institución financiera era comprometida para llevar a cabo ataques basados en red sobre la infraestructura de cajeros. Estas han sido las principales técnicas utilizadas en la segunda mitad de 2016 con ejemplos tan sonados como el del malware RIPPER, que consiguió atacar una red nacional de cajeros automáticos en Tailandia; o el de COBALT, un grupo de cibercrimen organizado que atacó con éxito los cajeros automáticos de más de una docena de países europeos.

A pesar de que la tendencia en la actualidad son los ataques basados en red, también hay cabida para la simplicidad y para ataques más tradicionales basados en el acceso físico, tal y como han desvelado los investigadores de la firma de seguridad TrendMicro en colaboración con el grupo EC3 de Europol al descubrir recientemente una nueva familia de malware llamada ALICE.

ALICE es una familia de malware muy dirigido y ligero usada para lanzar ataques de jackpotting a cajeros, es decir, una técnica cibercriminal diseñada para sustraer grandes cantidades de dinero en efectivo de un cajero sin tener que hacer uso de tarjetas de crédito o débito. De acuerdo con los investigadores, ALICE es una familia de malware completamente nueva que destaca por su sencillez: ALICE no apunta a datos sensibles como claves o números de cuenta: únicamente interacciona con el dispensador del cajero y es controlado solo a través del teclado del mismo.

No se ha divulgado información específica sobre países o entidades afectadas por ALICE, pero el malware ya ha entrado en acción y supone un riesgo no controlado que podría dirigirse contra cualquier país o región en cualquier momento.

Ataques de ATM Jackpotting haciendo uso del malware ALICE

El jackpoting de ATMs, es decir, el uso de malware para extraer dinero directamente de los cajeros es, hoy en día, una de las tácticas cibercriminales de moda. Los ciberdelincuentes la utilizan para hacerse con el control de los dispositivos de hardware del cajero, tales como el dispensador, el lector de tarjetas o el PINpad, permitiendo así el robo de enormes cantidades de dinero en metálico sin hacer uso de tarjetas de crédito o débito.

Aunque el jackpotting de ATMs no es algo nuevo y se conocen varias familias de malware que hacen uso de técnicas similares (Tyupkin, Padpin, Greendispenser, RIPPER…), Alice es una familia de malware completamente nueva que destaca por su simplicidad.

Así es como funciona el ataque de Jackpotting a cajeros de ALICE:
  • Los criminales consiguen acceso físico a la CPU central del cajero rompiendo el cuadro superior o usando llaves para la tapa delantera.
  • Una vez consiguen acceso físico, acceden a los puertos USB o a la unidad CD-ROM para infectar el cajero con el malware. Al mismo tiempo, conectan un teclado estándar para poder operar.
  • ALICE es un archivo ejecutable que puede lanzarse de forma manual y, normalmente, se oculta reemplazando el binario legítimo de Windows Task Manager (taskmgr.exe). Antes de lanzar su GUI, lleva a cabo algunas comprobaciones para asegurarse de que se está ejecutando en un entorno XFS (Extensions for Financial Services) adecuado, es decir, que se está ejecutando en un cajero real, con independencia de su marca y modelo (ALICE es un malware multifabricante).
  • Una vez ejecutado, ALICE toma control del ATM desplegando un GUI personalizado y solicitando un código de autorización para garantizar el control de la mula.
  • Si se otorga la autorización, ALICE usa la API de XFS para interactuar con el dispensador del cajero, permitiendo así al cibercriminal lanzar múltiples comandos de dispensación hasta que vacíe la caja del ATM (hay que tener en cuenta que muchos cajeros tienen una limitación de dispensación de un total de 40 billetes por transacción). ALICE interactúa únicamente con el dispensador y se controla desde el teclado sin hacer uso del PINpad del ATM.
  • Por último, una vez se completa la extracción, ALICE utiliza un mecanismo de limpieza y desinstalación que elimina cualquier indicio de ataque. No obstante, parece que por error el proceso de desinstalación no elimina el archivo de registro de errores.

Medidas de seguridad contra el malware en ATMs

Los ataques con malware son una de las mayores preocupaciones en lo que al fraude en cajeros automáticos se refiere. Los ciberdelincuentes se muestran extremadamente ágiles e innovadores a la hora de producir nuevos tipos de ataques lógicos dirigidos contra cajeros, dado que estos son mucho menos arriesgados y ofrecen más rédito económico que los tradicionales ataques físicos. Al mismo tiempo, las escasas medidas de seguridad desplegadas actualmente en muchas redes de cajeros suponen una ayuda inestimable para los cibercriminales.

Todos los cajeros están expuestos a ataques de malware y, por ello, la aplicación de contramedidas robustas y eficientes de seguridad se convierte en una necesidad básica e innegociable.

Gestionar de manera efectiva la seguridad de una red de ATMs requiere de un modelo exhaustivo de protección que pueda evitar la ejecución de software fraudulento (Application Whitelisting), bloquear los intentos de sustitución de archivos legítimos (File Integrity Protection), evitar la conexión de hardware que no sea de confianza (HW Whitelisting) y evitar la manipulación de datos del disco duro desde fuera del sistema operativo (Full Disk Encryption), Adicionalmente, se considera crítico monitorizar la seguridad de los cajeros con una visión centralizada de la red de ATMs, así como disponer de una capa extra de control que permita ejecutar acciones remotas para investigar o reaccionar ante potenciales incidentes.

Bloquear un ataque a cajeros realizado con ALICE

En el caso de un ataque con ALICE, la protección del hardware (HW Protection) bloquearía el intento del atacante de conectar USBs externos o teclados al cajero, mientras que el cifrado de disco (Full Disk Encryption) evitaría la manipulación de los datos del disco duro desde fuera del sistema operativo (a través del arranque externo desde el CD-ROM). Estas medidas de protección abortarían el ataque en la fase de infección.

Incluso si el ATM llegara a ser infectado por ALICE, la protección de la integridad de los archivos (File Integrity Protection) evitaría que ALICE intentara camuflarse reemplazando el archivo taskmgr.exe. Y, en caso de que el malware se copiara como un nuevo archivo ejecutable, la capa de Application Whitelisting evitaría que se lanzara.

Además, la monitorización continua del ATM alertaría sobre actividades sospechosas como desconexiones o reinicio del sistema, mientras que la capacidad de llevar a cabo acciones remotas personalizadas, ayudaría a identificar y limpiar los ATMs infectados de manera rápida y remota, evitando la necesidad de desactivarlos y de enviar un técnico de campo para realizar la actuación in-situ.

Fuente: S21Sec

Suscríbete a nuestro Boletín

1 comentario:

  1. muy interesante, pero ha varios factores a tomar, como la camara del cajero, sensores de movimiento, puerto usb habilitado.. etc. para levar acabo este tipo de ataque.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!