Alice: simplicidad aplicada al jackpotting de cajeros

Cajero automático

El malware en cajeros automáticos (ATMs) es un delito que a diario va cobrando más y más actualidad, generando una considerable preocupación en el sector bancario, ya que el número de sus ataques no para de crecer y apunta a toda clase de países y regiones.

Ahora bien, aunque globalmente hablando la tendencia  actual se orienta a los ataques basados en red, también existe cabida para la simplicidad y – más aún – para ataques más tradicionales basados en el acceso físico, tal y como han desvelado los investigadores de la firma de seguridad TrendMicro en colaboración con el grupo EC3 de Europol, que recientemente ha descubierto una nueva familia de malware conocida como ALICE.  Esta nueva familia cuyo jackpoting de ATMs, es decir, la utilización de malware para extraer dinero directamente de los cajeros es, hoy en día, una de las tácticas cibercriminales de moda.  ¿Las interrogantes son obvias, ¿ataque basado en el acceso físico?  ¿Cómo consiguen los cibercriminales acceso físico a la CPU de un cajero?

En pocas palabras, ALICE es una técnica cibercriminal diseñada para sustraer grandes cantidades de dinero en efectivo directamente de un cajero sin tener que utilizar tarjetas de crédito o débito.  “El jackpotting de ATMs, es hoy en día, una de las tácticas cibercriminales de moda”, recuerda Juan Ramón Aramendia, experto en ciberseguridad de S21sec, multinacional especializada en seguridad. “Los delincuentes la utilizan para hacerse con el control de los dispositivos de hardware del cajero, tales como el dispensador, el lector de tarjetas o el PINpad, permitiendo así el robo de enormes cantidades de dinero en efectivo sin hacer uso de tarjetas de crédito o débito”.

ALICE, que destaca por su sencillez, al revés de otros complicados programas, no apunta a datos sensibles como claves o números de cuenta: únicamente interacciona con el dispensador del cajero y es controlado solo a través del teclado del mismo. Pese a que hasta el momento no se ha divulgado información específica sobre países o entidades afectadas por ALICE, el malware ya ha entrado en acción y supone un riesgo no controlado que podría dirigirse contra cualquier país o región en cualquier momento, subraya Aramendia.

Los ataques con malware son una de las mayores preocupaciones en lo que al fraude en cajeros automáticos se refiere. Los ciberdelincuentes se muestran extremadamente ágiles e innovadores a la hora de producir nuevos tipos de ataques lógicos dirigidos contra cajeros, dado que estos son mucho menos arriesgados y ofrecen más rédito económico que los tradicionales ataques físicos. Al mismo tiempo, las escasas medidas de seguridad desplegadas actualmente en muchas redes de cajeros suponen una ayuda inestimable para los cibercriminales.

ALICE

Aunque el jackpotting de ATMs no es algo nuevo y se conocen varias familias de malware que hacen uso de técnicas similares (Tyupkin, Padpin, Greendispenser, RIPPER…),  Alice es una familia de malware completamente nueva que destaca por su simplicidad.  Basta con ver su funcionamiento.

*   Los criminales consiguen acceso físico a la CPU central del cajero rompiendo el cuadro superior o usando llaves para la tapa delantera.  

*   Una vez consiguen acceso físico, acceden a los puertos USB o a la unidad CD-ROM para infectar el cajero con el malware. Al mismo tiempo, conectan un teclado estándar para poder operar.

*   ALICE es un archivo ejecutable que puede lanzarse de forma manual y, normalmente, se oculta reemplazando el binario legítimo de Windows Task Manager (taskmgr.exe). Antes de lanzar su GUI, lleva a cabo algunas comprobaciones para asegurarse de que se está ejecutando en un entorno XFS (Extensions for Financial Services) adecuado, es decir, que se está ejecutando en un cajero real, con independencia de su marca y modelo (ALICE es un malware multifabricante).

*   Una vez ejecutado, ALICE toma control del ATM desplegando un GUI personalizado y solicitando un código de autorización para garantizar el control de la mula.

*   Si se otorga la autorización, ALICE usa la API de XFS para interactuar con el dispensador del cajero, permitiendo así al cibercriminal lanzar múltiples comandos de dispensación hasta que vacíe la caja del ATM (hay que tener en cuenta que muchos cajeros tienen una limitación de dispensación de un total de 40 billetes por transacción). ALICE interactúa únicamente con el dispensador y se controla desde el teclado sin hacer uso del PINpad del ATM.

*   Por último, una vez se completa la extracción, ALICE utiliza un mecanismo de limpieza y desinstalación que elimina cualquier indicio de ataque. No obstante, parece que por error el proceso de desinstalación no elimina el archivo de registro de errores.

Todos los cajeros están expuestos a ataques de malware y, por ello, la aplicación de contramedidas robustas y eficientes de seguridad se convierte en una necesidad básica e innegociable.

En el caso de un ataque con ALICE, la protección del hardware (HW Protection) bloquearía el intento del atacante de conectar USBs externos o teclados al cajero, mientras que el cifrado de disco (Full Disk Encryption) evitaría la manipulación de los datos del disco duro desde fuera del sistema operativo (a través del arranque externo desde el CD-ROM). Estas medidas de protección abortarían el ataque en la fase de infección.

S21sec, cuenta con un amplio conocimiento en el desarrollo de soluciones de seguridad adaptadas a las necesidades del sector bancario. Nuestro producto Lookwise Device Manager es una solución integrada y multifabricante que permite la gestión de la seguridad de la red de cajeros. “Lookwise Device Manager ofrece las contramedidas más avanzadas para proteger y responder frente a los ataques dirigidos basados en malware. También permite monitorizar aspectos de seguridad de los cajeros, añadiendo una capa extra de control para ejecutar acciones remotas personalizadas. Todo ello se consigue además con un consumo de recursos mínimo, limitando por tanto  el impacto en el rendimiento del cajero” concluye Juan Ramón Armendia.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.