El malware Alicia hace escupir dinero en efectivo a los cajeros automaticos
En noviembre de 2016, Europol y Trend Micro descubrieron un nuevo tipo de malware que se dirige a los cajeros automáticos y permite a los ladrones con el acceso físico a los puertos de la máquina escupir dinero en efectivo.
Apodado Alice o Alicia esta basado en el nombre dado a binario del software malicioso por su creador (Proyecto Alice), los investigadores encontraron evidencias de que este malware ha estado dando vueltas desde el 2014.
Los ladrones necesitan tener acceso a los puertos ATM
La forma en que los ladrones utilizan Alicia conseguir acceso a una de las ranuras USB o CD-ROM de ATM, con el fin de cargar el software malicioso en el dispositivo, y luego conectar un teclado para que pudieran interactuar con su software.
Los cajeros automáticos, que en la mayoría de los casos ejecutan Windows XP, permitiría a los delincuentes para utilizar el teclado para poner en marcha el programa malicioso en ejecución.
En esta etapa, los atacantes tendrían que introducir un código PIN (código de acceso, sin relación con los PIN de tarjetas de pago) con el fin de iniciar el programa malicioso. Este PIN juega el papel de un sistema de auto-protección que impide que el personal del banco de inspección de la binaria, en caso de que alguna vez se encontrase.
Además, como Alicia dispensa a las mulas de dinero de bajo nivel, el PIN podría también servir como un ID de socio, permitiendo a las bandas de delincuencia cibernética vigilar para que utiliza Alice y dónde, y si alguna de las mulas de dinero era deshonesto y comparte el malware con otros grupos en otras zonas del planeta.
Alicia o Alice sólo tiene una función
Después de introducir el PIN, Alice Springs en ejecución. A diferencia de otras familias de malware en cajeros automáticos, que vienen con una multitud de características que permiten a los ladrones un control casi total sobre el cajero automático, Alice tiene un solo componente.
Según Trend Micro, este componente conecta el proceso del módulo de software malicioso para dispensador de efectivo del cajero automático y aparece una ventana.
En un cajero automático de la vida real, la tabla mostraría información sobre el número de billetes de banco para cada tamaño de factura. El atacante podría utilizar el teclado para ordenar el cajero automático repartir dinero en efectivo, sin perder de vista su contenido.
Como la mayoría de los cajeros automáticos están limitados a 40 billetes por la retirada, el atacante tendría que repetir esta operación un par de veces.
Vale la pena mencionar que Alicia también incluye la opción para los ladrones se conecten a través de una conexión remota RDP (Remote Desktop Protocol) para cajeros automáticos específicos, pero investigadores de Europol y Trend Micro dicen no haber visto esta característica utilizada.
La razón podría ser debido a que el atacante tendría que conocer la contraseña RDP de la ATM, o llevar a cabo un ataque muy ruidoso de fuerza bruta con el fin de adivinar.
En la actualidad, el malware ATM puede caer en una de dos categorías, o ambos: el malware cajero automático que se encuentra oculto y recoge datos de la tarjeta de pago, lo registra, y lo envía a los delincuentes, y el malware que permite a los atacantes envían en tiempo real orden al cajero automático.
Alice es diferente de otras familias de malware en cajeros automáticos
Alicia cae en la segunda categoría, pero es muy diferente de los demás familias de malware en cajeros automáticos como DESTRIPADOR, SUCEFU , o GreenDispenser .
Todo lo anterior son controlados a través de la almohadilla de los números de la ATM (de NIP). Alice no lo es. La razón es que sus creadores no pierden el tiempo de codificación del componente que asegura la comunicación entre el malware y el teclado de PIN, y sólo se centraron en el módulo que importa, el que los platos de dinero en efectivo.
La presencia de un componente también podría significar que los creadores de Alice no son tan experimentados como otros delincuentes de malware, o que han decidido que la recopilación de datos de tarjetas de pago y luego revenderlo en línea es sólo consume demasiado tiempo, y se centró en conseguir el acceso al dinero en efectivo en cambio, la tala de la complejidad de su red criminal.
