Análisis de Malware en ATMs

Lo siguiente es la descripción de "Propiedades de la muestra de malware" del paper "Automated Teller Machine (ATM) Malware Analysis Briefing" de Trustwave. Mayo 28 de 2009

Trustwave's SpiderLabs realizó el análisis del software malicioso (malware) que fue encontrado instalado en ATMs (Automated Teller Machines) coprometidos en la región este de Europa. Este malware captura los datos de la banda magnética y los códigos del PIN del espacio privado de memoria de las transacciones procesadas por las aplicaciones instaladas en un ATM comprometido. Los ATMs comprometidos en cuestión de los que se trata en este informe, ejecutaban el sistema operativo Windows XP de Microsoft.

El malware contiene funcionalidades de administración avanzados permitiendo al atacante controlar completamente un ATM comprometido a través de una interfaz de usuario personalizada construida dentro del malware. Esta interfaz es accesible al insertar tarjetas controladoras dentro del lector de tarjetas del ATM. Los analistas de SpiderLabs no creen que el malware incluya funcionalidades de red que le permitirían al malware enviar los datos recolectados a otro equipo o localizaciones remotas via Internet. Aunque quizás el malware permite la salida de los datos de tarjetas recolectados mediante la impresora de recibos del ATM o escribiendo los datos en un dispositivo electrónico de almacenamiento (posiblemente usando el lector de tarjetas del ATM). Los analistas también descubrieron código indicando que el malware podría ejecutar el cassette dispensador de billetes.

Lo que sigue es un resumen de alto nivel de las características claves identificadas durante el análisis a fondo de la muestra de malware por Trustwave. Sin embargo, se cree que es una versión relativamente temprana/reciente del malware y que versiones subsecuentes tendrán mejoras significativas a su funcionalidad.


Fuente: TrustWave