Investigadores de seguridad han descubierto una nueva variedad de malware ATM denominada ATMii que sólo apunta a los cajeros automáticos que ejecutan en Windows 7 y Windows Vista.
El enfoque del malware es muy peculiar porque la mayoría de los cajeros automáticos utilizan una versión modificada de Windows XP, lo que significa que el malware ATMii no funcionará en la mayoría de los cajeros automáticos en uso hoy en día.
Esto significa que los operadores de ATMii’s están dirigidos intencionalmente sólo a los cajeros automáticos instalados en una red de destino específica y han desarrollado malware específico sólo para estos robos.
ATMii Fue descubierto en abril de 2017
ATMii salió a la luz a principios de este año cuando uno de los bancos afectados compartió una muestra a los investigadores de Kaspersky Lab.
Según el desarrollador senior de Kaspersky, Konstantin Zykov, el malware no es tan sofisticado como otras versiones de malware ATM.
Todo el malware ATMii es sólo dos archivos: exe.exe y dll.dll. Para instalar el ATMii en los cajeros automáticos, un ladrón necesita acceso de red o acceso USB al dispositivo.
Si esto es posible, el ladrón copiará estos archivos en la unidad de almacenamiento del ATM y ejecutará exe.exe. Este archivo busca el proceso estándar atmapp.exe y lo inyecta con el archivo dll.dll malintencionado. Esta DLL permite que el delincuente interactúe con el proceso legítimo de atmapp.exe y controle el cajero automático.
Malware soporta tres comandos, pero es todo lo que necesita
En los cajeros automáticos infectados, los delincuentes pueden llevar a cabo tres operaciones maliciosas. En primer lugar, pueden escanear las cajas de efectivo del cajero automático para una lista exacta de las facturas que el cajero automático contiene en ese punto en el tiempo, pueden hacer que el cajero automático dispense una cantidad deseada de efectivo, y pueden ordenar el malware para sabotear a sí mismo eliminando una configuración local archivo.
Como en la mayoría de los casos de malware ATM, Zykov recomienda que los bancos tomen las medidas adecuadas para limitar el acceso físico o de red a los puertos de un cajero automático.
Además de ATMii, otras célebres malware ATM que han sido detectadas en los últimos años incluyen ATMitch, GreenDispenser, Alice, Ploutus, RIPPER, Skimer y SUCEFUL.
El informe Kaspersky ATMii está disponible aquí.
