Nuevo malware SUCEFUL para cajeros automáticos

Publicado el 21 septiembre 2015 ¬ 15:37 pmh.mscComentarios desactivados en Nuevo malware SUCEFUL para cajeros automáticos

Un nuevo tipo de malware puede comprometer cajeros automáticos independientemente de su fabricante. Logra que el cajero robe los datos de las tarjetas, pero también las propias tarjetas, según datos de un reporte de FireEye.

El malware es conocido como Suceful, que proviene de la palabra “successful”. La muestra que se analizó se obtuvo de VirusTotal, es probable que los autores lo subieran a la página ellos mismos con el fin de ver si el malware era detectado por los diversos motores antivirus empleados por el sitio web.

“Suceful se subió recientemente a VirusTotal de Rusia, y con base en su marca de tiempo, fue probablemente creado el 25 de agosto de 2015. Todavía podría estar en su fase de desarrollo, sin embargo, las características proporcionadas son impactantes y nunca antes vistas en malware de cajeros automáticos” señalaron los investigadores.

Esta muestra en particular puede leer todos los datos la tarjeta de crédito/débito desde el chip de la tarjeta (si es que la tarjeta tiene uno), tambien puede retener o expulsar la tarjeta insertada y puede ser controlado por los atacantes a través de terminales PIN Pad.

El malware también es capaz de desactivar las puertas de los cajeros automáticos, la alarma y los sensores de proximidad para evitar que sean detectadas las actividades maliciosas.

Los autores del malware lograron que sea utilizable en varios tipos de cajeros automáticos, aprovechando que XFS Manager (el middleware utilizado en las máquinas) lo desarrolla un proveedor independiente.

“Cada vendedor tiene su propia implementación de XFS Manager con sus propios controles de seguridad, sin embargo, también soportan la plantilla predeterminada de Administrador XFS que proporciona WOSA/XFS, el estándar que permite a los atacantes crear su propia interfaz con el cajero automático”, explicaron los investigadores.

Se creó una variante de Suceful en donde el objetivo son los cajeros automáticos fabricados por Diebold y NCR, pero, como se mencionó antes, esto podría cambiar pronto.

Por el momento es imposible para los usuarios detectar si un cajero automático está comprometido, se recomienda sospechar de los cajeros que retengan las tarjetas y, en tal caso, realizar una llamada al banco de preferencia manteniendo vigilado el cajero automático con el fin de detectar individuos sospechosos tratando de recuperar la tarjeta del cajero.

Ver información original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2486

Sobre dicho malware disponemos del informe de virustotal:

MD5 4bdd67ff852c221112337fecd0681eac
SHA1 4610093687b0f2c42fe80adca217988c8947a546
File size 91.0 KB ( 93184 bytes )
SHA256: d33d69b454efba519bffd3ba63c99ffce058e3105745f8a7ae699f72db1e70eb
File name: d33d69b454efba519bffd3ba63c99ffce058e3105745f8a7ae699f72db1e70eb.bin
Detection ratio: 37 / 56
Analysis date: 2015-09-18 06:54:57 UTC ( 3 days, 6 hours ago )

0 1
Antivirus Result Update
ALYac Trojan.Generic.14959990 20150918
AVG BackDoor.Generic19.OFT 20150917
AVware Trojan.Win32.Generic!BT 20150918
Ad-Aware Trojan.Generic.14959990 20150918
Agnitum Trojan.Agent!u1PwONtTN1k 20150917
Antiy-AVL Trojan/Win32.BTSGeneric 20150918
Arcabit Trojan.Generic.DE44576 20150918
Avast Win32:Suceful-A [Trj] 20150918
Avira TR/Dropper.Gen 20150918
BitDefender Trojan.Generic.14959990 20150918
Bkav W32.NertasgosLTG.Trojan 20150917
DrWeb Trojan.Regvest.1 20150918
ESET-NOD32 Win32/ATM.A 20150918
Emsisoft Trojan.Generic.14959990 (B) 20150918
F-Secure Trojan.Generic.14959990 20150918
Fortinet W32/Dropper.G!tr 20150918
GData Trojan.Generic.14959990 20150918
Ikarus Backdoor.ATM.Suceful 20150918
K7AntiVirus Riskware ( 0040eff71 ) 20150917
K7GW Riskware ( 0040eff71 ) 20150918
Kaspersky Backdoor.Win32.Suceful.a 20150918
Malwarebytes Backdoor.Suceful 20150918
McAfee Generic BackDoor.u 20150918
McAfee-GW-Edition Generic BackDoor.u 20150917
MicroWorld-eScan Trojan.Generic.14959990 20150918
Microsoft Backdoor:Win32/Suceful.A 20150918
NANO-Antivirus Trojan.Win32.Suceful.dwxhxc 20150918
Panda Generic Suspicious 20150917
Qihoo-360 HEUR/QVM41.2.Malware.Gen 20150918
Rising PE:Malware.Generic/QRS!1.9E2D[F1] 20150917
Sophos Mal/Dropper-G 20150918
Symantec Infostealer.Limitail 20150917
Tencent Win32.Trojan.Dropper.Pgxh 20150918
TrendMicro TROJ_SUCEFUL.A 20150918
TrendMicro-HouseCall TROJ_SUCEFUL.A 20150918
VIPRE Trojan.Win32.Generic!BT 20150918
nProtect Trojan.Generic.14959990 20150918

Por lo que ante la sospecha de tenerlo, si bien McAfee y Kaspersky ya lo controlan, nosotros podemos detectarlo y eliminar con el ELIMD5.EXE, entrando su MD5:

4bdd67ff852c221112337fecd0681eac

Proximamente cuando dispongamos de la muestra en cuestion, incluiremos su control y eliminación a partir del ELISTARA del momento

saludos

ms, 21-9-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Virus, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies