Cutlet Maker, el nuevo kit para cibercriminales aficionados

Los cajeros automáticos (ATMs) siguen siendo muy lucrativos para los criminales, incluso cuando se hace en la distancia a través de Internet. Y lo que se ha descubierto recientemente es que los creadores de malware están invirtiendo recursos en poner sus creaciones a disposición de otros criminales menos familiarizados con la informática.

También puedes leer... Tratando con el Ransomware Directrices para el Data Protection Office (DPO) Cinco pasos para hacer del Data Masking una realidad Lagunas de conocimiento en Ciberseguridad Cómo cuantificar el valor de un CASB

El descubrimiento se inició a primeros de año, cuando un partner de Kaspersky hizo llegar a la firma de seguridad un ejemplo de malware hasta ese momento desconocido y que, presumiblemente se había elaborado con la intención de infectar los PCs que se utilizan para que los cajeros puedan realizar su función. Los analistas se mostraron interesados en averiguar si este malware, o algo relacionado con él, se podía encontrar a la venta en el submundo ilegal.

Efectivamente, se detectó en AlphaBay, un lugar muy popular de la darkweb, un anuncio que describía un tipo de malware para ATM y que coincidía con el elemento buscado. El anuncio revelaba que el ejemplo inicial pertenecía a un kit de malware comercial creado para hacerse con el gran premio de los ATMs. El mensaje no sólo describía el malware y las instrucciones de cómo conseguirlo, sino que también ofrecía toda una guía detallada de cómo debía utilizarse el kit para realizar ataques, con instrucciones y hasta tutoriales en vídeo.

Una investigación posterior desveló que el malware estaba formado por tres elementos:

. Software Cutlet Maker que sirve como modulo principal responsable de la comunicación con el dispensador de efectivo del ATM.

. Programa c0decalc, diseñado para generar contraseñas y hacer que funcione la aplicación Cutlet Maker, así como protegerla frente a un uso no autorizado.

. Aplicación Stimulator, que permite ahorrar tiempo a los criminales gracias a la identificación de la situación de los cofres o contenedores de efectivo de los ATM. Al instalar esta aplicación, un intruso recibe la información exacta de la moneda, valor y número de billetes que hay en cada caja o cofre, de forma que pueden seleccionar aquel que contiene una mayor cantidad, en lugar de extraer el efectivo de uno u otro sin saber cuál es la situación de cada contenedor.

Para empezar a robar, los criminales necesitan tener acceso directo al interior de los cajeros y así poder conectar un dispositivo USB que contenga el software. Como primer paso, los criminales instalan Cutlet Maker. Como existe una contraseña protegida, utilizan el programa cOdecalc instalado en otro dispositivo, como un portátil o una tablet. Esta contraseña es un tipo de protección de derechos de autor, instalada por los autores de Cutlet Maker para prevenir que otros criminales lo utilicen gratuitamente. Después de que el código se genere, los criminales lo introducen en el interfaz de Cutlet Maker y así empezar con el proceso de extracción de fondos.

Cutlet Maker está en el mercado desde el 27 de marzo de 2017. No se tiene información sobre quién se encuentra detrás de este malware. Sobre los potenciales vendedores del kit, el idioma, la gramática y los errores de estilo, apuntan a que son personas cuyo idioma nativo no es el inglés.

“Estamos ante una amenaza potencialmente muy peligrosa para las entidades financieras. Pero lo que es más importante es que, mientras opera, Cutlet Maker interactúa libremente con el software y el hardware del ATM, sin hallar ningún elemento de seguridad que lo impida”, comenta Konstantin Zykov, analista de seguridad de Kaspersky Lab.

La protección de los cajeros automáticos debe pasar por implementar por defecto una política muy estricta de denegación, permitir mecanismos de control de dispositivos e incluso utilizar una solución específica de seguridad que proteja los ATM de ataques como los del malware Cutlet Maker, recomiendan desde Kaspersky.