Tyupkin permite vaciar cajeros vía Malware

0

Tyupkin permite vaciar cajeros automáticos vía malware

El tema de los ataques a los cajeros (denominados de forma técnica ATMs) no es algo nuevo, como hemos ido detallando en varias ocasiones en los últimos años. Kaspersky ha sido una de las compañías más activas en la investigación de esta clase de fenómenos a través de su laboratorio.

A comienzos de año se les encomendó la tarea de realizar una investigación forense que estudiara numerosos ataques sobre cajeros (ATM) que se estaban produciendo en Europa del Este. mientras investigaban observaron con horror como una muestra de malware era capaz de vaciar cajeros al completo de forma directa. Dicho malware se encontró en unos50 cajeros.

Desde aquel momento se han encontrado muestras de este malware en instituciones bancarias de China, India y EEUU. Esto, según informes de amenazas realizados por VirusTotal.

Dada la naturaleza de los dispositivos donde se ejecuta el malware, no existen datos para evaluar la dispersión de la amenaza. Sí nos pueden servir de referencia el número de análisis realizados por VirusTotal desde cada país:

Afecciones por Tyupkin según informes de VirusTotal

Backdoor.MSIL.Tyupkin

Con este nombre se conoce al citado malware, aunque lo dejaremos en Tyupkin para abreviar. Este peligro amenaza a la mayor parte de los fabricantes de cajeros a nivel mundial, aquellos que ejecutan versiones de Windows de 32 bit.

El malware Tyupkin se intenta camuflar para no ser detectado:

  • Sale a cazar solo por la noche, cuando hay menor movimiento.
  • Utiliza una clave basada en una patrón aleatorio en cada sesión. Si alguien no cuenta con dicha clave no podrá interactuar con el cajero.

Al insertar la clave correctamente, el malware informa de cuanto dinero hay disponible en cada bandeja del cajero, permitiendo al atacante extraer de forma física hasta 40 billetes de cada bandeja escogida.

Este malware ha estado mutando desde sus comienzos. Según informa Kaspersky su última versión es capaz de desactivar la seguridad McAfee Solidcore del equipo infectado, además de protegerse contra intentos de depuración.

Archivos afectados

Según reconstrucciones de las cámaras de seguridad, los delincuentes habrían estado introduciendo CDs “bootables” para instalar malware directamente en cada dispositivo. Copiaban en cada cajero los archivos:

C:\Windows\system32\ulssm.exe

%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk

Después de comrpobar las variables de entorno, el malware elimina el archivo .Ink (en teoría un archivo de imagen) y crea una clave nueva en el Registro de Windows:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

“AptraDebug” = “C:\Windows\system32\ulssm.exe”

Listo, ahora el malware puede interactuar directamente con el cajero mediante la librería habitual MSXFS.dll. Se trata de una extensión para Servicios Financieros (XFS). Después, el malware quedaría en un bucle infinito, esperando la entrada de algún usuario en el sistema. 

Por defecto, Tyupkin acepta comandos únicamente los Sábados y Domingos por la noche:

  • XXXXXX – Muestra la ventana principal.
  • XXXXXX – Se borra automáticamente por medio de un archivo batch.
  • XXXXXX – Incrementa el período de funcionamiento del malware.
  • XXXXXX – Esconde su ventana principal.

Después de cada comando el operador pulsará Intro sobre el  teclado físico del cajero.

Como hemos dicho, Tyupkin utiliza claves de sesión para evitar interactuar con usuarios que no debe. Tras entrar en la “ventana principal” mediante su comando correspondiente, el malware mostrará el mensaje ENTER SESSION KEY TO PROCEED! utilizando un patrón aleatorio para cada sesión.

Ahora, el operador en cuestión deberá conocer el algoritmo de cifrado usado para generar una clave de sesión. En caso contrario no será capaz de interactuar con el cajero automático.

Suponiendo que tenga éxito en la operación, el ATM mostrará lo siguiente:

CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION –
ENTER CASSETTE NUMBER AND PRESS ENTER.

Cuando el operador escoge la bandeja correspondiente, el cajero le dispensa 40 billetes desde ella.

Os dejamos una demostración en vídeo del mencionado proceso:

Recomendaciones de los expertos

  • Revisar la seguridad física de los cajeros, estudiando implantación de medidas de rápida respuesta y alta calidad. No hay que olvidar que el primer paso del ataque es puramente físico (inserción del CD).
  • Cambiar las claves de bloqueo y sesión de los cajeros. Evitar utilizar las suministradas por el fabricante.
  • Establecer alarmas de seguridad en el cajero. Se ha comprobado que los delincuentes solo infectaron cajeros que no contaban con ellas.
  • En caso de dudas o necesidad de comprobaciones se puede contactar con Kaspersky en intelreports@kaspersky.com o descargar kaspersky Virus Removal Tool.
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR