Alice es un malware que roba el dinero líquido de los cajeros automáticos
Recientemente ha aparecido un nuevo malware que se dedica a robar efectivo de los cajeros automáticos (ATM) que ha sido bautizado con el nombre de Alice.
Según el investigador que lo ha descubierto, Alice está siendo empleado en robos que se realizan estando presente ante los cajeros. Aunque el malware podría ser utilizado a través de un RDP (Protocolo de Escritorio Remoto), no hay evidencias de que esta vía haya sido explotada. Por otro lado, aparentemente no busca (y en consecuencia no roba) datos de clientes o bancos, sino que solo va a por la liquidez disponible dentro de los cajeros.
Alice es un malware bastante sencillo, siendo la existencia de un código PIN previo a la dispensación lo que ha sugerido que es usado solo por una persona en cada uno de los ataques realizados con él. Cuando se ejecuta, Alice crea en el directorio raíz un fichero de al menos 5 megabytes llamado xfs_supp.sys y un fichero de registro de errores llamado TRCERR.LOG.
El primer fichero es completado con ceros y no tiene ningún dato, mientras que el segundo es utilizado por el malware propiamente dicho. TRCERR.LOG rastrea cualquier llamada a la API XFS, además de mensajes y errores relacionados. Este fichero se mantiene en la máquina incluso cuando Alice es eliminado, lo que deja entrever que el malware puede tener fallos de diseño y que a los ladrones se les está olvidando borrarlo.
El investigador ha avisado de que Alice se conecta al periférico CurrencyDispenser1 (Dispensador de dinero 1) y que no incluye ningún código para ser utilizado a través del teclado del PIN, por lo que posiblemente esté diseñado para tener acceso e infectar los ATM a través de USB o CD-ROM. Esto quiere decir que los ladrones se ven forzados a abrir de forma física el cajero automático, lo que permitiría también el uso de otros periféricos de entrada como un teclado estándar.
Alice ha sido empaquetado utilizando un empacador/ofuscador comercial llamado VMProtect, implementa algunas características para evitar ser analizado por investigadores y previene su ejecución en entornos que no sean ATM o depuradores. A todo lo mencionado anteriormente, se suma el hecho de que se apoya en estas tres órdenes, cada una emitida a través de un PIN específico:
- Suelta un fichero de desinstalación en el ATM.
- Salir del programa ejecutando la rutina de limpieza o desinstalación.
- Abrir el panel del operador para ver la cantidad de liquidez disponible dentro del cajero automático.
En un escenario de ataque, el ladrón introduce en primer lugar el ID del ATM, luego la orden de dispensación de dinero a través del periférico CurrencyDispenser1 utilizando la API WFSExecute. Los cajeros suelen tener un límite de dispensación de 40 billetes, por lo que los ladrones necesitan repetir la operación varias veces para extraer toda la liquidez que contiene. Al no tener método persistente, se tiene que sustituir el Gestor de Tareas de Windows (Windows Task Manager/taskmgr.exe) manualmente con Alice, permitiendo así la ocultación del malware en el Gestor de Tareas de Windows.
El investigador que ha descubierto el malware ha publicado los Indicadores de Compromiso, siendo estos los hash SHA256 utilizados por Alice.
- 04F25013EB088D5E8A6E55BDB005C464123E6605897BD80AC245CE7CA12A7A70
- B8063F1323A4AE8846163CC6E84A3B8A80463B25B9FF35D70A1C497509D48539
Fuente | Security Affairs
Más información | Trend Micro
Fue originalmente publicado en: Muyseguridad.net