SpiderLabs detecta muestras de malware en cajeros automáticos
Los cajeros automáticos de todo el mundo pueden estar hospedando malware capaz de registrar los detalles de las tarjetas de los usuarios para utilizar la información en actividades fraudulentas, una situación que además podría complicarse debido a la creciente sofisticación de este tipo de malware, según SpiderLabs.
SpiderLabs, grupo de investigación de Trustwave, se muestra sorprendido al haber obtenido una muestra de malware en este tipo de máquinas, conocidas también con el acrónimo inglés de ATM (Automatic Teller Machine), en instituciones financieras de Europa del Este, según explica Andrew Henwood, vicepresidente de SpiderLabs para la zona EMEA. “Es la primera vez que hemos detectado malware de esta clase”, asegura Henwood.
Este software malicioso funciona grabando la información de la banda magnética ubicada en la parte trasera de las tarjetas, así como el número de identificación personal (PIN) del usuario. Tales datos pueden después imprimirse a través del sistema de impresión del cajero automático introduciendo una “tarjeta maestra especial” en la máquina. También peden grabarse sobre la banda magnética de esa tarjeta de control maestra.
“Realmente quedamos sorprendidos ante el nivel de sofisticación del sistema”, insiste Henwood, quien señala que, aunque la mayoría de las ATM corren software de seguridad, las instituciones financieras no se han centrado en su securización tanto como en la de otros sistemas.
“Hasta el momento no han prestado demasiada atención en este sentido a la infraestructura ATM porque tales máquinas se presuponían considerablemente estables”, explica Henwood. Sin embargo, los creadores del malware detectado por SpiderLabs tienen un conocimiento profundo sobre la forma en que trabajan las ATM.
Por el momento, sin soporte de networking
La muestra detectada por el grupo corre sobre máquinas que utilicen Windows XP como sistema operativo, y, aunque por el momento no dispone de capacidades de networking, podría evolucionar en este sentido.
La incorporación de networking al software malicioso en cuestión constituye una amenaza especialmente preocupante, dado que la mayoría de las ATM en los países desarrollados están conectadas entre sí a través de redes.
Para instalar el malware, el delincuente debe tener acceso al interior de la máquina o a un puerto en el que pudiera ser cargado el software. Este condicionante hace sospechar la implicación de insiders (empleados internos) de las entidades financieras, a no ser que los delincuentes hubieran conseguido una llave para el acceso físico a las máquinas.
SpiderLabs asegura haber tenido información sobre malware similar encontrado en ATM de otras zonas del mundo aparte de Europa del Este. En marzo, el suministrador de seguridad Sophos anunció haber capturado tres muestras de malware ATM personalizadas para atacar máquinas fabricadas por Diebold. Se trataba del mismo tipo de muestra detectada por SpiderLabs.
Este software malicioso funciona grabando la información de la banda magnética ubicada en la parte trasera de las tarjetas, así como el número de identificación personal (PIN) del usuario. Tales datos pueden después imprimirse a través del sistema de impresión del cajero automático introduciendo una “tarjeta maestra especial” en la máquina. También peden grabarse sobre la banda magnética de esa tarjeta de control maestra.
“Realmente quedamos sorprendidos ante el nivel de sofisticación del sistema”, insiste Henwood, quien señala que, aunque la mayoría de las ATM corren software de seguridad, las instituciones financieras no se han centrado en su securización tanto como en la de otros sistemas.
“Hasta el momento no han prestado demasiada atención en este sentido a la infraestructura ATM porque tales máquinas se presuponían considerablemente estables”, explica Henwood. Sin embargo, los creadores del malware detectado por SpiderLabs tienen un conocimiento profundo sobre la forma en que trabajan las ATM.
Por el momento, sin soporte de networking
La muestra detectada por el grupo corre sobre máquinas que utilicen Windows XP como sistema operativo, y, aunque por el momento no dispone de capacidades de networking, podría evolucionar en este sentido.
La incorporación de networking al software malicioso en cuestión constituye una amenaza especialmente preocupante, dado que la mayoría de las ATM en los países desarrollados están conectadas entre sí a través de redes.
Para instalar el malware, el delincuente debe tener acceso al interior de la máquina o a un puerto en el que pudiera ser cargado el software. Este condicionante hace sospechar la implicación de insiders (empleados internos) de las entidades financieras, a no ser que los delincuentes hubieran conseguido una llave para el acceso físico a las máquinas.
SpiderLabs asegura haber tenido información sobre malware similar encontrado en ATM de otras zonas del mundo aparte de Europa del Este. En marzo, el suministrador de seguridad Sophos anunció haber capturado tres muestras de malware ATM personalizadas para atacar máquinas fabricadas por Diebold. Se trataba del mismo tipo de muestra detectada por SpiderLabs.
