El US-CERT ha emitido una alerta técnica conjunta con el DHS y el FBI en la que informan de que el grupo de ciberdelincuentes ‘Hidden Cobra’ está comprometiendo servidores bancarios.

Aunque no está confirmado, las autoridades de EE.UU. creen que los ciberdelincuentes utilizaron correos electrónicos de phishing que contendrían ejecutables maliciosos de Windows. Una vez abierto, estos servían de conexión para que los atacantes pivotaran en la red del banco utilizando las credenciales legítimas del empleado afectado y conseguir inyectar el malware en el servidor de aplicaciones de pago. A pesar de que la mayoría de los servidores utilizaban versiones del sistema operativo AIX sin soporte, no se han encontrado pruebas de que los atacantes aprovecharan alguna vulnerabilidad sobre el mismo. El US-CERT ha recomendado a los bancos que hagan obligatoria la autenticación de dos factores cuanto antes.

¿Cómo funciona el ataque? Siempre que un usuario utiliza su tarjeta en un cajero automático o en un TPV de una tienda, el software solicita al servidor de aplicaciones de cambio del banco para validar la transacción y que esta se acepte o rechace en base al saldo disponible en la cuenta.

Sin embargo, los ciberdelincuentes consiguieron comprometer estos servidores para que intereceptaran la solicitud de transacción y diera una respuesta afirmativa falsa pero legítima sin validar realmente su saldo disponible con los sistemas bancarios centrales, lo que finalmente engaña a los cajeros para que escupan la cantidad solicitada sin siquiera notificar al banco.

En principio los objetivos son África y Asia tal y como explica el US-CERT en el siguiente mensaje.

https://www.us-cert.gov/ncas/alerts/TA18-275A

Escrito por :
Daniel Púa
@devploit
dpua@hispasec.com

Fuente | https://unaaldia.hispasec.com/2018/10/fastcash-el-nuevo-ataque-utilizado-para-sacar-dinero-de-los-cajeros-automaticos.html