Los fraudes contra los bancos se están volviendo más comunes y los atacantes utilizan métodos sofisticados para robar grandes cantidades de dinero. Hemos sido testigos de grandes ataques a los cajeros automáticos a nivel mundial en los últimos meses; En Tailandia, India, América Latina, en toda Europa y en otros países alrededor del mundo. En estos incidentes, los atacantes lograron robar millones de dólares.

Los ataques de los bancos se dividen en dos categorías principales: las que apuntan al consumidor y las que apuntan a las instituciones financieras.

La primera y más antigua categoría son los ataques que apuntan principalmente a clientes bancarios y software de banca en línea. Algunas técnicas que usan los atacantes incluyen:

  • Secuestro de la pantalla de conexión bancaria en línea
  • Evitar u omitir funciones de seguridad como teclados virtuales o autenticación de dos factores
  • Instalación de un software espía de acceso remoto personalizado (RAT) spyware en el equipo infectado. (Este modelo sigue siendo muy popular en Sudamérica y Asia.)

Me centraré en la segunda categoría de ataques: ataques que se dirigen directamente a las instituciones bancarias y sus sistemas internos; computadoras de los empleados de bancos y redes internas, lo que permite a los atacantes acceder a otras partes de toda la infraestructura, como terminales de pago (POS), cajeros automáticos o transferencias bancarias internacionales; y registros críticos.

Los atacantes utilizan a menudo amenazas persistentes avanzadas (APT), ingeniería social o spear-phishing contra los empleados de los bancos internos y externos, para obtener acceso a los sistemas internos. En algunos casos, los ejecutores se las arreglan para atacar sólo la red interna de ATM y, eventualmente, atacan físicamente a un ATM y propagan la infección a todas las demás máquinas de la misma red.

Uno de los últimos ataques de este tipo fue una infección masiva de cajeros rusos a través de la red interna de una institución bancaria. Según la información en medios rusos, el ataque fue especialmente interesante, ya que utilizó malware sin archivos que se ejecuta en la memoria de la máquina, y es resistente al reinicio del sistema operativo del ATM infectado, que son comúnmente basados en Windows.

A partir de esta información, presumimos que el malware se puede almacenar, por ejemplo en el registro de arranque maestro del disco duro de la máquina (MBR), dentro del firmware (BIOS / UEFI) o como malware de poweliks, que es un malware conocido por ocultarse en el Registro de Windows.

Después de ingresar un código especial, el cajero automático infectado repartirá todo el dinero del primer dispensador, donde normalmente se almacenan los billetes de mayor valor nominal. Este método también se denomina “ataque jackpotting de ATM”, y ya ha sido utilizado varias veces en el pasado.

Las infecciones de los cajeros automáticos ocurren con mayor frecuencia y están reemplazando gradualmente skimming methods, donde los atacantes tuvieron que colocar su equipo en un cajero automático específico, haciendo que el riesgo de ser descubierto fuera alto.

Por Michal Salat,
Director de Amenazas Inteligentes en Avast