Alice, el malware que roba en cajeros

En los últimos días, un investigador ha descubierto un malware que se dedica a robar efectivo de los cajeros automáticos (ATM), y que ha recibido el nombre de Alice. Está siendo empleado en robos que se realizan estando presente ante los cajeros. Se cree que podría ser utilizado a través de un RDP – Protocolo de escritorio remoto, aunque no hay pruebas de que se esté llevando a cabo.

Al parecer, este malware no roba los datos de clientes o bancos, sino que solamente está interesado en el dinero.

Sobre Alice

Se trata de un malware bastante sencillo. La existencia de un código PIN previo a la dispensación ha llevado a pensar que sólo es usado por una persona en cada uno de los ataques realizados con él.

Cuando Alice se ejecuta, crea en el directorio un fichero de al menos 5 megabytes llamado xfs_supp.sys y un fichero de registro de errores llamado TRCERR.LOG. El primero es completado con ceros y no tiene ningún dato, mientras que el segundo es utilizado por el malware propiamente dicho. TRCERR.LOG rastrea cualquier llamada a la API XFS, además de mensajes y errores relacionados. Este fichero se mantiene en la máquina incluso cuando Alice es eliminado, lo que deja entrever que el malware puede tener fallos de diseño y que a los ladrones se les está olvidando borrarlo.

malware texto

Además se conecta al periférico CurrencyDispenser1 (Dispensador de dinero 1) y no incluye ningún código para ser utilizado a través del teclado del PIN, por lo que es probable que esté diseñado para tener acceso e infectar los ATM a través de USB o CD-ROM. Esto quiere decir que los ladrones se ven forzados a abrir de forma física el cajero automático, lo que permitiría también el uso de otros periféricos de entrada como un teclado estándar.

Los pasos que sigue son emitidos a través de un PIN específico. Primero suelta un fichero de desinstalación en el ATM, continua saliendo del programa y ejecutando la rutina de limpieza o desinstalación y finalmente abre el panel del operador para ver la cantidad de liquidez disponible dentro del cajero automático.

Los cajeros suelen tener un límite de dispensación de 40 billetes, por lo que los ladrones necesitan repetir la operación varias veces para extraer toda la liquidez disponible. Al no tener método persistente, se tiene que sustituir el Gestor de Tareas de Windows (Windows Task Manager/taskmgr.exe) manualmente con Alice, permitiendo así la ocultación del malware en el Gestor de Tareas de Windows.

Community Manager y apasionada de las redes sociales

 

Acerca de

Nethive es una consultora tecnológica independiente especializada en la prestación de servicios informáticos con amplia experiencia en el sector de las telecomunicaciones.

En este blog nuestros técnicos publican información relevante sobre la industria tecnológica internacional, imprescindible para conocer, por ejemplo, ciberataques y riesgos que puedan comprometer la seguridad de su empresa.

Solicitar presupuesto sin compromiso

Ofrecemos servicios informáticos que ayudarán a su empresa a ser más eficiente, efectiva y competitiva. Si cree que podríamos encajar en sus necesidades, deje que nos pongamos en contacto.