Un nuevo tipo de malware está siendo utilizado en los cajeros automáticos de México para drenar todo el efectivo que contienen. Apodado GreenDispenser por los investigadores de Proofpoint, el malware muestra un mensaje de "fuera de servicio", pero si los atacantes ingresan el código PIN correcto hacen que las máquinas liberen el dinero que contienen.

"La instalación inicial del malware probablemente requiera acceso físico al cajero automático, lo que ha planteado preocupaciones en cuanto a seguridad física y sobre el personal", señalaron los investigadores.

Al igual que Suceful, GreenDispenser también tiene la capacidad de atacar el hardware de cajeros automáticos de múltiples proveedores utilizando el estándar de XFS.

Una cosa particularmente curiosa es que el malware está provisto para ejecutarse durante un período en específico, 2015, antes del mes de septiembre.

"GreenDispenser emplea autenticación usando un PIN codificado estático, seguido por una segunda capa de autenticación que usa un PIN dinámico, que es único cada vez que se ejecuta el malware. El atacante deriva este segundo PIN desde un código QR mostrado en la pantalla del cajero automático infectado", explicaron los investigadores.

"Sospechamos que el atacante tiene un aplicación que puede ejecutarse en un teléfono celular con la funcionalidad de escanear el código de barras y derivar el segundo PIN, un tipo de autenticación de dos factores. Está característica asegura que sólo una persona autorizada tenga la capacidad para llevar a cabo el atraco."

Finalmente, el malware puede borrarse por sí mismo después de que el robo es ejecutado.

Los investigadores dicen que los ataques actuales se han limitado a México, pero el malware puede ser fácilmente utilizado para comprometer los cajeros automáticos en todo el mundo y probablemente lo harán con el tiempo.

"El malware de cajeros automáticos como GreenDispenser es particularmente alarmante porque permite que los delincuentes cibernéticos puedan atacar a las instituciones financieras directamente, sin los pasos adicionales necesarios para capturar la información de tarjetas de crédito y débito de los consumidores y con ello, menos trazabilidad", comentó Kevin Epstein, Vicepresidente de Operaciones de Amenazas para Proofpoint. "Con el fin de mantenerse a la vanguardia de los atacantes, las entidades financieras deberían volver a examinar las capas de seguridad existentes y considerar la implementación de medidas de seguridad modernas para frustrar estas amenazas".