Blog & Noticias

Investigadores de FireEye detectaron la semana pasada una nueva muestra de malware para cajeros bancarios. La nueva muestra de malware, fue nombrada Ripper se subió por primera vez a VirusTotal el pasado 23 de agosto, desde una IP en Tailandia. Tiempo después el periódico Bangkok Post anunciaba el robo de 12 millones de baths desde 21 cajeros bancarios en seis provincias de Tailandia. Los investigadores de FireEye han publicado un interesante informe en que se analiza este nuevo malware y documentan indicadores que sugieren que es el responsable del robo desde los cajeros a los bancos tailandeses. No es la primera vez que los cajeros bancarios, también conocidos por sus siglas en inglés ATM ( Automated Teller Machine), se ven afectados por algún malware. Esta nueva muestra guarda ciertas semejanzas con especímenes anteriores. Atacan a la misma marca de cajero automático; la técnica utilizada para expulsar el dinero sigue la misma estrategia (ya documentada) realizado por el Padpin (Tyupkin), SUCEFUL y GreenDispenser; es capaz de controlar el lector de tarjetas para leer o expulsar la tarjeta bajo demanda; puede desactivar la interfaz de red local; utiliza la herramienta de borrado seguro 'sdelete' para eliminar evidencias forenses; impone un límite de 40 billetes por retirada (que es el máximo permitido por el fabricante del cajero) FireEye señala que Ripper puede ser el responsable del robo debido a que la muestra fue enviada a VirusTotal desdeTailandia, país en el que se realizaron los robos (mediante acceso físico al cajero). Los robos se registraron en agosto de 2016 y la muestra analizada contiene un ejecutable PE con fecha de compilación de julio de 2016. Todos los cajeros eran de la marca NCR, una de las tres para las que está diseñado Ripper. Además algunas fuentes señalaron que el malware desconectaba el cajero de la red y que requería un cajero con lector de tarjetas con chip, funcionalidades incluidas entre las características de este malware.