MADRID 5 abr. (Portaltic/EP) -
La companyia de ciberseguretat Kaspersky Lab fa temps que analitza el programari maliciós ATMitch, arran de veure com els criminals l'utilitzaven per infectar les xarxes bancàries, i ha descobert una misteriosa manera de robar diners dels caixers automàtics "sense deixar rastres d'interacció física amb la màquina".
La investigació va començar quan els especialistes forenses del banc van recuperar i van compartir amb Kaspersky Lab dos arxius que contenien registres de programari maliciós en el disc dur de l'ATM (kl.txt i logfile.txt). Eren els únics arxius que quedaven després de l'atac: no era possible recuperar els executables maliciosos perquè després del robatori els cibercriminals havien netejat el 'malware'.
En qualsevol cas, aquesta petita quantitat de dades ha estat suficient perquè Kaspersky Lab dugués a terme una investigació reeixida. Dins els arxius de registre, els experts de la companyia de ciberseguretat han estat capaços d'identificar parts d'informació en text pla que els ha ajudat a crear una regla YARA per als repositoris públics de programari maliciós i trobar una mostra.
Les regles YARA --bàsicament cadenes de cerca-- ajuden els analistes a trobar, agrupar i categoritzar mostres de 'malware' relacionades i establir connexions entre elles basant-se en patrons d'activitat sospitosa en sistemes o xarxes que comparteixen similituds. Després d'un dia d'espera, els experts han trobat una mostra de programari maliciós --"tv.dll", o "ATMitch"-- que ja s'havia vist dues vegades més: una vegada al Kazakhstan i una altra a Rússia.
DISTRIBUIR ELS DINERS AMB NOMÉS PITJAR UN BOTÓ
Aquest 'malware' s'instal·la i executa remotament a un caixer automàtic des del banc de destinació. Una vegada instal·lat i connectat a l'ATM, el programari maliciós ATMitch es comunica com si fos un programari legítim. Permet als atacants dur a terme una llista de comandaments, com recopilar informació sobre el nombre de bitllets en els cassets del caixer i proporciona als cibercriminals la capacitat de distribuir diners en qualsevol moment, amb només pitjar un botó.
En general, els cibercriminals comencen per obtenir informació sobre la quantitat de diners que té el caixer. Després d'això, envien una ordre per dispensar un nombre de bitllets concrets. Després de retirar els diners d'aquesta curiosa manera, els criminals només han de fugir. Un cop robat l'ATM, el programari maliciós elimina les seves traces.
Encara no se sap qui hi ha darrere dels atacs. L'ús de codi d'explotació obert, utilitats comunes de Windows i dominis desconeguts durant la primera etapa de l'operació fa que sigui gairebé impossible determinar-ne el grup responsable. No obstant això, "tv.dll", usat en l'etapa ATM de l'atac conté un recurs en rus i els grups coneguts que podrien encaixar en aquest perfil són GCMAN i Carbanak.
