MIENTRAS hay cajeros automáticos, los piratas informáticos estarán allí para drenarles el dinero. Aunque el malware «jackpotting» dirigido a cajeros automáticos, que obliga a las máquinas a escupir efectivo, ha estado en aumento durante varios años, una variación reciente del esquema toma ese concepto literalmente, convirtiendo la interfaz de la máquina en algo así como una máquina tragamonedas. Uno que paga cada vez.
Como detalla Kaspersky Lab, el llamado malware WinPot afecta a lo que los investigadores de seguridad describen solo como una marca de cajero automático «popular». Para instalar WinPot, un hacker necesita acceso físico o de red a una máquina; Si cortas un agujero en el lugar correcto , es bastante fácil enchufarlo a un puerto serie. Una vez activado, el malware reemplaza la pantalla estándar del cajero automático con cuatro botones con la etiqueta «SPIN», uno para cada cassette, los contenedores dispensadores de efectivo dentro de un cajero automático. Debajo de cada uno de esos botones, muestra la cantidad de billetes de banco dentro de cada cassette, así como los valores totales. Toca SPIN y sale el dinero. Toca PARAR, y bueno, ya sabes. (Pero en ese punto, cajero automático, ¿por qué lo harías?)
«Estas personas tienen sentido del humor y algo de tiempo libre».
KONSTANTIN ZYKOV, LABORATORIO KASPERSKY
Kaspersky comenzó a rastrear la familia de malware WinPot en marzo del año pasado, y en ese momento ha visto algunas versiones técnicas sobre el tema. De hecho, WinPot parece ser una especie de variación por derecho propio, inspirado en un popular malware para cajeros automáticos que data de 2016 llamado Cutlet Maker. Cutlet Maker también mostró información detallada sobre el contenido de los cajeros automáticos de sus víctimas, aunque en lugar del motivo de la ranura, usó una imagen de un chef estereotípico guiñando un ojo y el gesto con la mano para «OK».
Las similitudes son una característica, no un error. «Las últimas versiones del software de cajero automático ‘cashout’ contienen solo pequeñas mejoras en comparación con las generaciones anteriores», dice Konstantin Zykov, investigador senior de seguridad de Kaspersky Lab. «Estas mejoras permiten a los delincuentes automatizar el proceso de premios gordos porque el tiempo es crítico para ellos».
Eso también explica de alguna manera la absurda inclinación que los hackers de los cajeros automáticos han adoptado recientemente, un rasgo atípico en un campo dedicado al secreto y al crimen. El malware ATM es fundamentalmente sencillo y probado en batalla, dando a sus propietarios espacio para agregar un toque creativo. La inclinación caprichosa en WinPot y Cutlet Maker «generalmente no se encuentra en otros tipos de malware», agrega Zykov. «Estas personas tienen sentido del humor y algo de tiempo libre».
Después de todo, los cajeros automáticos en su núcleo son las computadoras. No solo eso, son computadoras que a menudo ejecutan versiones desactualizadas, incluso no compatibles de Windows . La principal barrera de entrada es que la mayoría de estos esfuerzos requieren acceso físico a la máquina, que es una de las razones por las que el malware ATM no se ha vuelto más popular en los EE. UU. Muchos hackers de cajeros automáticos implementan las llamadas mulas de dinero , personas que asumen todo el riesgo de extraer dinero del dispositivo a cambio de una parte de la acción.
Pero WinPot y Cutlet Maker comparten un rasgo aún más importante que el waggery: ambos han estado disponibles para la venta en la web oscura. Kaspersky descubrió que se podía comprar la última versión de WinPot por tan solo $ 500. Eso es inusual para los piratas informáticos de cajeros automáticos, que históricamente han mantenido su trabajo estrechamente vigilado.
«Más recientemente, con malware como Cutlet Maker y WinPot, vemos que esta herramienta de ataque ahora se vende comercialmente por una cantidad relativamente pequeña de dinero», dice Numaan Huq, investigador principal de amenazas de Trend Micro Research, que se asoció con Europol en 2016 para una visión integral del estado del pirateo de cajeros automáticos. «Esperamos ver un aumento en los grupos que apuntan a cajeros automáticos como resultado».
WinPot y Cutlet Maker representan solo una parte del mercado de malware ATM. Ploutus y sus variantes han perseguido a los cajeros automáticos desde 2013 , y pueden obligar a un cajero automático a escupir miles de dólares en cuestión de minutos. En algunos casos, todo lo que un hacker tenía que hacer era enviar un mensaje de texto a un dispositivo comprometido para realizar un retiro ilícito. El virus Typukin, popular en Rusia , solo responde a comandos durante períodos de tiempo específicos los domingos y lunes por la noche, para minimizar las posibilidades de ser encontrado. Prilex parece haber sido de cosecha propia en Brasil, y corre desenfrenada allí. Lo sigue y sigue.
Detener este tipo de malware es relativamente fácil; Los fabricantes pueden crear una lista blanca de software aprobado que el cajero automático puede ejecutar, bloqueando cualquier otra cosa. El software de control de dispositivos también puede evitar que dispositivos desconocidos, como una memoria USB portadora de malware, se conecten en primer lugar. Por otra parte, piense en el último cajero automático de la bodega que utilizó y cuánto tiempo ha pasado desde que recibió algún tipo de actualización.
Por lo tanto, espere que el pirateo de cajeros automáticos solo se vuelva más popular y más ridículo. En este punto, es literalmente diversión y juegos. «Los delincuentes simplemente se divierten», dice Zykov. «Solo podemos especular que, dado que el malware en sí no es tan complicado, tienen tiempo para dedicarlo a estas funciones ‘divertidas'».