Los virus informáticos, o más bien el malware, no sólo afecta a ordenadores y sistemas típicos, sino también a otros sistemas informáticos como los cajeros automáticos de las diferentes entidades bancarias. Una de las amenazas más populares es ATMitch, que ha sido analizado durante tiempo por los experos en seguridad informática de Kaspersky Lab. Y tras esta investigación han descubierto cómo consiguen robar sin dejar rastro, algo singular frente a otras amenazas anteriores.
La investigación en cuestión arrancó con sólo dos rastros, el de los achivos kl.txt y logfile.txt como comprobando del ataque con este tipo de malware. No quedaba rastro, cuando los forenses del banco compartieron el histórico con Kaspersky Lab, de ningún otro tipo de archivo como ejecutables maliciosos. Porque en este momento los ciberdelincuentes ya habían eliminado el malware del cajero automático afectado. No obstante, a raíz de esto se identificaron partes de información en texto plano dentro de los archivos de registro, suficiente para crear una regla YARA y encontrar una muestra.
Lanzaban su ‘virus’ de forma remota y podían distribuir dinero con un simple botón. Aunque este malware ‘no deja rastro’, Kaspersky Lab ha destapado todos sus procedimientos para robar dinero de forma sigilosa.
Un ‘virus’ para cajeros automático que no deja rastro, pero igualmente se lleva tu dinero
Gracias a este procedimiento consiguieron localizar muestras anteriores en Kazajstán y Rusia. Entre las conclusiones de la investigación, Kaspersky Lab explica que el malware se instalaba y ejecutaba de forma remota en un cajero automático desde el banco de destino. Y una vez instalado, y conectado al ATM, conseguían que el malware ATmitch se comunicase como cualquier software legítimo. De esta manera los atacantes podían ejecutar una lista de comandos y recopilar información sobre el número de billetes, así como una ventana para la distribución de dinero con un simple ‘botón’.
Aunque no se ha descubierto aún quién hay detrás del ataque a los cajeros automáticos, este que nos ocupa, Kaspersky Lab ha recabado información suficiente para conocer todo lo anterior, y también que los ciberdelincuentes utilizan código abierto, y utilidades tan comunes como Windows. Además, también han recopilado datos suficientes para cerrar las líneas de investigación en torno a dos grupos posibles, que anteriormente han utilizado procedimientos similares para, también, ataques muy parecidos.
Fuente > ADSLZone