TLP: AMBER
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar las actualizaciones de seguridad que corrigen la vulnerabilidad en vCenter Server.
Vector de ataque: Remoto.
Impacto: Retiro de dinero de los cajeros afectados.

Descripción

De acuerdo con una investigación realizada por una organización de seguridad, se ha identificado que algunos cajeros automáticos (ATM) fabricados por la compañía “NCR” se han visto afectados por una herramienta de interfaz de línea de comandos (CLI), haciendo uso del programa malintencionado de nombre “Loup”.

Se identificó que el código ha sido cargado desde Egipto en una de las plataformas para la detección de programas maliciosos, si bien, parece ser una herramienta común, puede ser fácilmente implementada para fines maliciosos.

Según las investigaciones, el programa “Loup” agrega código en la aplicación para las operaciones kernel32, de esta forma parece usar el depurador con un archivo “pdb” y una sección del ejecutable portable (PE) para obtener el código que se va a agregar. Una vez verificada la presencia del marco “eXtensions for Financial Services” (XFS), se realiza la operación mediante la interfaz CLI. Este proceso verifica la presencia de monedas como la libra egipcia y la libra esterlina antes de ejecutar acciones en las bandejas del cajero automático.

Este programa malicioso tiene como principal objetivo realizar retiros fraudulentos de dinero directamente de los ATM afectados.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Cajeros ATM de la compañía NCR

Indicadores de compromiso IoCs

A continuación, se enlistan los IoCs identificados hasta el momento, relacionados con el programa malicioso reportado en esta alerta.

  • Llaves de registro:
    • HKLM\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToBackup\BITS_LOG
    • HKLM\SYSTEM\ControlSet001\Control\BackupRestore\FilesNotToBackup\BITS_BAK
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS\StateIndex
    • HKLM\SOFTWARE\Microsoft\WBEM\PROVIDERS\Performance\Performance Refresh
    • HKLM\SOFTWARE\Microsoft\WBEM\PROVIDERS\Performance\Performance Refreshed
    • HKLM\SOFTWARE\Microsoft\WBEM\PROVIDERS\Performance\Performance Data
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\LastCounter
    • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\LastHelp

Medidas de contención

  • Mantener actualizados los sistemas de los cajeros automáticos.
  • Actualizar los diferentes sistemas de seguridad como antimalware, antivirus, entre otros.
  • Realizar análisis periódicos en el disco y la memoria de los dispositivos.

Referencias