Cajeros automáticos vulnerables por ataque Fast Cash

Las Agencias Estadounidenses, el US-CERT (Equipo de Preparación para Emergencias Informáticas), el  DHS (Departamento de Seguridad Nacional) y el FBI, han emitido una alerta, mencionando que piratas informáticos han comprometido la seguridad de las aplicaciones en diferentes servidores bancarios.

La alerta ha sido denominada como: TA18-275A, Hidden Cobra-Campaña FastCash. Esta alerta es el resultado específicamente de investigaciones analíticas del DHS, la Tesoreria y la Oficina Federal de Investigaciones del FBI, trabajando de manera conjunta con socios del gobierno.

Los ciberdelincuentes, que han sido llamados como los Hidden Cobra supuestamente apoyados por el gobierno de Corea del Norte, han roto la seguridad de los servicios de pago y las transacciones en los medios electrónicos de los bancos.

Se estima que sus principales objetivos son los continentes asiáticos y africanos según los expertos del US-CERT.

Se presume que a finales del año 2016, los piratas del Hidden Cobra han utilizado técnicas de FASTCash para establecerse en las entidades bancarias de Asia y África. El gobierno de EE.UU menciona que aún no han confirmado ninguna falla o incidente relacionada con FASTCash, que afecte a las instituciones dentro de ese país.

Según mencionan varios socios del gobierno, los actores del grupo Hidden Cobra han perpetrado decenas de millones de dólares sustrayendo el efectivo simultáneamente de cajeros automatizados en más de 31 países a nivel mundial.

¿En qué consiste el ataque ?

Este grupo de cibercriminales ponen su atención en los sistemas de las entidades financieras para permitir retiros de dinero en cajeros automáticos en las zonas fronterizas de los países.

Se presume que los ataques han sido iniciados desde ordenadores de empleados, a través de la apertura de correos electrónicos bajo el concepto conocido como phishing

Los analistas del US-CERT establecieron un conjunto de medidas para tratar de mitigar y reducir el incidente relacionado con diversos sistemas de pagos a minoristas de las instituciones:

  • Aislar la Infraestructura del sistema de pago.
  • Separar lógicamente los entornos operativos.
  • Establecer métodos de cifrados en tránsito.
  • Monitoreo.

 

 

Vulnerabilidad 0-Day reparada por paquetes actualizables de Microsoft

A través de la normal y mensual actualización, Microsoft ha reparado diversas vulnerabilidades zero-day, que han sido de explotación activa recientemente.

Microsoft afirmó que ha establecido un parcheo rutinario en el mes de Diciembre, el cual ha solventado un numeró de 39 vulnerabilidades en aplicaciones de su sistema .

De acuerdo a anuncios establecidos por Avira y Kapersky, mencionan la existencia de una falla que había sido utilizadas por diversos piratas informáticos. Esta falla involucra la elevación de privilegios como administrador en el sistema operativo por una vulnerabilidad ocurrente en el sistema del Kernel.

Los mismos,  mencionan que los ataques pueden ser de la siguientes características:

Web Drive by-download (Infección por página de internet): consiste en la distribución de bloques de código ocultos a través de los navegadores más populares. Los paquetes más utilizados son : Mpack, Adpack, Elfiesta, Neón o Zeus.

Asimismo, varios estos paquetes permiten detectar una vulnerabilidad específica dependiendo del navegador en cuestión, usando scripts de ejecución en segundo plano.

RCE (ejecución remota de código): infecciones a través de correo o mensajería instantánea.

lPE (elevación de privilegios): se escalan privilegios en usuarios locales mediante introducción de código en el modo kernel, permitiendo pasar sobre los privilegios estándares, también es conocido como escape de restricciones de usuario.

El programa en cuestión posee el nombre de ntoskml.exe, permitiendo la ejecución con libertad de código. Está falla ha sido listada como CVE-2018-8611, cuyo funcionamiento es basado en la falta de ordenamiento en determinadas operaciones en el kernel permitiendo evadir reglas preestablecidas para el funcionamiento de los procesos.

Especialistas mencionan que afecta los sistemas desde Windows 7 hasta Windows Server 2019.

Los programas o aplicaciones más vulnerables en los que se ejecutan estos ataques son la paquetería antigua de Microsoft Office, ya que por ejemplo los los ataques son inyectados a través de malware asociados a los documentos Word con extensión .docx, los cuales son enviados a usuarios víctima como supuestos documentos de trabajo o entes empresariales o gubernamentales.

Microsoft asegura que el bloque de actualizaciones cubrirá principales aplicaciones (como Office, Internet Explorer, entre otras) hasta la presente fecha.