WinPot convierte tu cajero automático preferido en una máquina tragaperras.

En marzo de 2018, los investigadores de Karspersky Lab se encontraron con WinPot; un malware bastante simple pero efectivo, con una interfaz similar a una máquina tragaperras, creado para vaciar por completo cajeros automáticos (ATMs) en instituciones financieras específicas.

En la interfaz, el malware muestra cada cajetín con un rodillo numerado del 1 al 4 (que es el número máximo de cajones de retiro de efectivo en un cajero automático) y un botón GIRAR para cada cajetín para dispensar el efectivo así como la información tanto del valor de los billetes que contiene cada uno como de la cantidad de billetes que hay dentro. La interfaz tiene además otros dos botones, SCAN y STOP. El primero permite volver a escanear el cajero automático y actualizar la información en la interfaz de usuario, el segundo permite detener la distribución en curso. Solo les falta una caña y la tapita.

Imagen se Karspersky
Jackpotting

Este sofisticado ataque a cajeros automáticos se denomina Jackpoting el ‘premio gordo’. Para llevarlo a cabo los ciberdelincuentes primero deben obtener acceso físico al cajero automático para alcanzar la CPU del ATM bien sea rompiendo la carcasa o mediante el uso de llaves. Una vez conseguido obtienen acceso a los puertos USB o a la unidad de CD-ROM para infectar el cajero con el malware conectando un teclado estándar para operar y forzar a la máquina a expulsar el dinero (desde el teclado estándar conectado por el ciberdelincuente o desde el propio pinpad, teclado del cajero).

Winpot incluye además modificaciones para engañar a los sistemas de seguridad del cajero, llevar a cabo un mecanismo de limpieza por el cual se elimina cualquier rastro del ataque, superar las limitaciones potenciales, como el número de billetes máximo que se puede sacar en cada extracción, así como encontrar formas para evitar que las ‘mulas’ de dinero abusen de su malware; como una de sus últimas variantes que ajustaba el período de tiempo durante el cual funciona el malware.

Disponible en la dark web

Y es que WinPot no es difícil de encontrar para los ciberdelincuentes. De hecho los investigadores descubrieron que cualquiera podía comprarlo por unos $500  o $ 1,000 en la Dark Web (web oscura). Un precio inferior al mítico CutletMaker, otro malware para cajeros automáticos que Karpesky lab encontró a la venta en mercados subterráneos de la web en octubre de 2017. 

Segurelist

Incluso uno de los vendedores ofrece WinPot v.3 junto con un video demostración con la «nueva» versión de malware y un programa aún no identificado con el título «ShowMeMoney».

Imagen de Securelist

Winpot v3 muestra del video de demostración. Securelist

Parece pues que hackear un cajero automático hoy en día es casi un juego de niños. Tanto es así, que ya en 2014, dos adolescentes de 14 años de Winnipeg, Canadá, vulneraron la seguridad de un cajero del Banco de Montreal simplemente leyendo el manual de instrucciones que encontraron en internet. Y es que aquellas antiguas técnicas carentes de sofisticación, como hacer un agujero con un taladro al ATM, arrancarlo de la pared, hacerlo saltar por los aires y llevártelo puesto a casa, o destrozarlo con un hacha, forman ya parte de la historia y han dado paso a otras técnicas, cuyo ADN es la discreción y pasar totalmente desapercibido.

Fuentes consultadas

Si te ha gustado, ayúdame a difundirlo :)