NUEVO MALWARE “GreenDispenser” DE GRAN INCIDENCIA EN ATAQUES BANCARIOS INICIALMENTE EN MEXICO

El sector bancario es uno de los que mayor cantidad de ataques informáticos sufre y México no es la excepción. Razones más que obvias salen a relucir y según las predicciones de Kaspersky Lab para el 2015, dichos ciberataques dirigidos a través de software maliciosos que les permiten suministrar dinero directamente de los cajeros automáticos aumentarían.Costin Raiu, director del equipo de Análisis e Investigación Global de Kaspersky Lab, comentó que los días en que las bandas de ciberdelincuentes enfocadas exclusivamente en robar dinero de los usuarios finales habían acabado. “Ahora, los delincuentes atacan directamente a los bancos porque es ahí es donde se encuentra el dinero”.

Este pronóstico fue validado hace unos días con el descubrimiento de GreenDispenser, un malware descubierto por investigadores de la industria que le permite a un atacante la capacidad de vaciar el dinero de cajeros automáticos infectados.

Según los análisis, el código malicioso se conecta al middleware XFS (extensiones para servicios financieros) implementado en varios ATMs basados en Windows. Esta plataforma permite la interacción entre el softwarey los dispositivos periféricos de un cajero automático, como el teclado de PIN o dispensador de efectivo.

Una vez instalado, el cajero automático muestra un mensaje de ‘fuera de servicio’ en la pantalla. Mientras los clientes regulares no podrán utilizar el ATM, los atacantes que ingresen los códigos PIN correctos podrán vaciar todo el dinero de los cajeros automáticos y borrar el malware utilizando un proceso de eliminación profundo, dejando poco o ningún rastro de cómo el ATM fue vulnerado.

Aunque por ahora el malware solo ha sido detectado en México, se anticipa que también se empleará en otros países de la región.

Fabio Assolini, analista sénior de Kaspersky Lab, señala que los cibercriminales de América Latina están invirtiendo constantemente en el desarrollo de nuevo código malicioso para cajeros automáticos y advierte que los bancos e instituciones financieras de la región deben de estar atentos a esta gran amenaza.

“Los criminales de la región, especialmente en México y Brasil, están organizados y generalmente operan con cibercriminales de otros países buscando infectar al mayor número de cajeros automáticos. Ellos emplean su conocimiento local con técnicas de malware exportadas de los países de Europa del este para crear ataques locales únicos”.

Además, lo que empeora esta situación, según el experto, es que la mayoría de los cajeros automáticos todavía corren en sistemas operativos antiguos que son fáciles de infectar, como Windows XP o Windows 2000.

Analistas de Kaspersky Lab prevén este ataque como una tendencia que seguirá en crecimiento. Durante el primer trimestre de 2015, Kaspersky Lab reveló a Carbanak, la APT (amenaza persistente avanzada) que había robado hasta mil millones de dólares, iniciando una era de ataques estilo APT en el mundo de la ciberdelincuencia.

En el 2014, Kaspersky Lab informó acerca de la campaña de fraude cibernético Luuuk que se enfocaba en los clientes de un banco europeo importante. En el periodo de sólo una semana, los ciberdelincuentes robaron más de medio millón de euros de cuentas del banco.

Luego, en octubre de ese mismo año, el equipo de Análisis e Investigación Global de Kaspersky Lab reveló los ataques de malware de delincuencia cibernética Tyupkin que se centraban en cajeros automáticos de todo el mundo. Este códigomalicioso infectaba a los cajeros automáticos y les permitía a los atacantes vaciar las máquinas mediante una manipulación directa, con el cual robaron millones de dólares sin utilizar ni una tarjeta de crédito.

Expertos de Kaspersky Lab recomiendan siempre mantener actualizados los sistemas de punto de venta o cajeros automáticos e instalar una solución antivirus ya que el factor común en la mayoría de los ataques es el sistema operativo. La tecnología Dafult Deny incluida en Kaspersky Antivirus bloquea la ejecución de programas ejecutables desconocidos.

Kaspersky Lab detecta y neutraliza a GreenDispenser como Trojan-Banker.Win32.GreenDispenser.a

Ver informacion original al respecto en Fuente:
http://www.cioal.com/2015/09/30/kaspersky-lab-detecta-ataques-ciberneticos-a-telecajeros-en-mexico/

El preanalisis de virustotal ofrece el siguiente informe:
MD5 bcd3cdbded825b96861bfbc7a399b89a
SHA1 25f4d7bd393fb8e65de716e6353a1ec11bf6d3b2
File size 390.5 KB ( 399872 bytes )
SHA256: b7e61f65e147885ec1fe6a787b62d9ee82d1f34f1c9ba8068d3570adca87c54f
File name: bcd3cdbded825b96861bfbc7a399b89a
Detection ratio: 26 / 56
Analysis date: 2015-09-29 01:56:46 UTC ( 2 days, 7 hours ago )

0 2
Antivirus Result Update
ALYac Trojan.GenericKD.2754195 20150929
AVware Trojan.Win32.Generic!BT 20150928
Ad-Aware Trojan.GenericKD.2754195 20150929
Arcabit Trojan.Generic.D2A0693 20150929
BitDefender Trojan.GenericKD.2754195 20150929
ESET-NOD32 a variant of Win32/ATM.B 20150929
Emsisoft Trojan.GenericKD.2754195 (B) 20150929
F-Secure Trojan.GenericKD.2754195 20150929
GData Trojan.GenericKD.2754195 20150929
Ikarus Trojan.Win32.Greeodode 20150929
K7AntiVirus Trojan ( 004d29941 ) 20150928
K7GW Trojan ( 004d29941 ) 20150928
Kaspersky Trojan-Banker.Win32.GreenDispenser.a 20150929
Malwarebytes Spyware.GreenDispenser 20150928
McAfee BackDoor-FCTY!ppad 20150929
McAfee-GW-Edition BackDoor-FCTY!ppad 20150928
MicroWorld-eScan Trojan.GenericKD.2754195 20150929
Microsoft Trojan:Win32/Greeodode.A 20150929
Panda Trj/CI.A 20150928
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20150929
Rising PE:Trojan.ATM!1.A13B[F1] 20150928
Sophos Troj/Agent-AOUQ 20150928
Symantec Trojan.Greendispenser 20150928
TrendMicro TROJ_GREENDISPENSER.A 20150929
TrendMicro-HouseCall TROJ_GREENDISPENSER.A 20150929
VIPRE Trojan.Win32.Generic!BT 20150929
Mientras no nos llega una muestra de dicho malware, se puede controlar con nuestro ELIMD5.EXE entrando el correspondiente hash;

bcd3cdbded825b96861bfbc7a399b89a

Con ello no solo se puede detectar y eliminar, sino que envia una muestra a C:\muestras que nos pueden enviar para controlar especificamente con el ELISTARA.

saludos

ms, 1-10-2015