{
	"id": "8819194d-1e0e-4729-829a-9c9ab427d165",
	"created_at": "2026-04-06T00:06:26.086672Z",
	"updated_at": "2026-04-10T13:12:35.869319Z",
	"deleted_at": null,
	"sha1_hash": "bc86554237539c4f80c11626b11f70beaa7ff5c9",
	"title": "Other day other malware in the way (died.exe)",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 689687,
	"plain_text": "Other day other malware in the way (died.exe)\r\nBy Rafael Revert\r\nPublished: 2019-08-28 · Archived: 2026-04-05 20:33:11 UTC\r\nMost of cyber security blogs will talk about the discovery of the malware  in english to reach more people in the\r\nexplanation and make a fancy claims that they have the solution to protect everything , pero no nosotros no parte\r\nde esta misión de este blog es centralizar conocimiento de varios tópicos de seguridad pero centrados en canales\r\nalternos y en especial ATM que hemos seguido este tópico, en este caso vamos a hablar de un nuevo software\r\ndescubierto en latino américa Died.exe o dd por los strings encontrados.\r\nPrimero que todo o existe un faltante al momento de la cuenta de efectivo por la transportadora de valores o hay\r\nun software nuevo que no debería estar en el ATM.\r\nDied puede ser ejecutado desde cualquier carpeta del sistema operativo\r\nGeneralmente lo primero es que el Software tiene referencias a funciones (service provider) SPI y importaciones\r\nde DLLs propias del CEN XFS, para poder ver si ya de primero tenemos suficiente motivo para que no esté en el\r\nATM\r\nLuego de segundo es encontrar posibles rutinas o subrutinas que puedan interaccionar con algún perimetral\r\nsiguiendo la lógica del WFS primero debe inicializar , luego abrir la comunicación\r\nhttps://blog.cyttek.com/2019/08/28/other-day-other-malware-in-the-way-died-exe/\r\nPage 1 of 8\n\nLuego en otra subrutina vemos que tiene que ejecutar la instrucción de abertura del canal SPI\r\nhttps://blog.cyttek.com/2019/08/28/other-day-other-malware-in-the-way-died-exe/\r\nPage 2 of 8\n\nsi toda el proceso de abertura no está ocupado por otro servicio esto quiere decir que entonces el usuario que lo\r\nejecuta de acuerdo a la necesidad del CEN XFS no puede estar corriendo otro hserv para este servicio SPI por lo\r\ntanto el ATM debe estar sin otro servicio XFS para poder ejecutar el software\r\nsi el hserv se vuelve único y avanza el proceso del WFS open por la subrutina 46D8B4\r\nhttps://blog.cyttek.com/2019/08/28/other-day-other-malware-in-the-way-died-exe/\r\nPage 3 of 8\n\nrevisa que en la subrutina se encuentre el Dispensador habilitado\r\nen caso de que no se encuentra habilitado la propia funcione msxfs  WFS_CDM_DEVONLINE le entregará el\r\nstatus para poder procesar con la petición de operación con el dispensador\r\nhttps://blog.cyttek.com/2019/08/28/other-day-other-malware-in-the-way-died-exe/\r\nPage 4 of 8\n\nluego entra a la función\r\ny luego como exige el SDK del CEN llama a la función de WFS_CMD_CDM_Dispense\r\nhttps://blog.cyttek.com/2019/08/28/other-day-other-malware-in-the-way-died-exe/\r\nPage 5 of 8\n\nuna peculiaridad de este software es que las funciones estan en ingles  y las instrucciones de input de las\r\nsubrutinas están en español y acepta múltiples denominaciones ISO  estas denominaciones después de recorrer la\r\nsubrutina se las trae de los estados WFS y  junto con la cantidad de billetes del input esperado recorre los\r\nREGEDIT para poder traer el name del dispensador en la subrutina  de posibles dispensadores\r\nCualquier software que esté en el ATM que tenga funciones WFS y no tenga un firmado de la marca de ATM por\r\nlo tanto ya hay que sospechar cosas raras\r\nAquí el \"softwarecito\" corriendo del cual tiene una afectación principal para Diebold Agilis\r\nhttps://blog.cyttek.com/2019/08/28/other-day-other-malware-in-the-way-died-exe/\r\nPage 6 of 8\n\ny así es como lo ves en VT, ninguno de los típicos como symantec o mcafee lo identifica\r\nPuntos importantes:\r\n1.-Cualquier software que esté en el ATM que tenga funciones WFS y no tenga un firmado de la marca de ATM\r\npor lo tanto ya hay que sospechar cosas raras\r\n2.- Algunos strings en español por lo tanto de fabricación latino americana\r\n3.- Utilización del CEN XFS estándar requiere de la importación de la librería MSXFS.dll por lo tanto es un\r\nsoftware para operar ATMS\r\n4.- Soporta multi divisa pero requiere de input por lo tanto el atacante debe tener un teclado cerca habilitado por la\r\nACL y seleccionar o ejecutar un Software que mediante un string input al proceso de consola del software pueda\r\ninsertar los 2 input que requiere\r\n5.- Tiene una función muy parecida al peralta donde rebusca los dispensadores soportados por el XFS y trae el\r\nutilizado actualmente para poder pasarle por el canal del SPI las instrucciones\r\nhttps://blog.cyttek.com/2019/08/28/other-day-other-malware-in-the-way-died-exe/\r\nPage 7 of 8\n\n6.- Al parecer esto tiene pinta de ser una fase de pruebas, puesto que no se encontro ningun packer ni cifrado y\r\nrequiere de inputs que muy probablemente en ataques masivos se puedan automatizar y vender licencias por\r\ncantidad de billetes como ya se ha visto en malware pasados\r\n7.- con esto van 123 aproximadamente de malware y subfamilias reconocidas para atacar a ATMs\r\nRecomendaciones :\r\n1.- Prohibir la ejecución de cualquier software no solo centrarse en el hash de este o de cualquier otro software\r\n/malware generalmente la ejecución por listas blancas n con APPLOCKER o algún software de ACL\r\n2.- Si por desgracia te lo esconden en algún update por la red de ATM, todos los últimos software de esta clase\r\nsiempre buscan el mayor soporte de dispensadores por lo tanto borrar los regedit de forma remota de la\r\ndenominación del dispensador y la ruta de la dll ayuda a que provoque errores el software al no encontrar el\r\nregedit y al menos pues se protege temporalmente y no se pierde dinero (ojo esta recomendación solo aplicarla en\r\ncaso extremo ya que si no sabes operar bien lo regedit puedes terminar en que tengas que reinstalar el software del\r\nATM)\r\n3.- Con ATX podemos remotamente bloquear el  I/O controller del Dispensar  para que cuando busque el\r\nHardware device CDM no esté operativo y el ataque no pueda proceder por mucho que se intente.\r\n4.- Tener buenas políticas de seguridad para prevenir que te suban estos ejecutables al atm sea por un interno o por\r\nun externo al ATM\r\nName: died.exe\r\nMD 56a7732feaa62e8b6ae60f9203c742162\r\nSHA-1 : 94dfa4d597090b34adf18576235df60e3da69b00\r\nSHA-256 d6dff67a6b4423b5721908bdcc668951f33b3c214e318051c96e8c158e8931c0\r\nAuthentihash 4cdb89b93c770995763092ee6b5ad4c1a47ba9c3a5b6ef290fb7d11a4cebde29\r\nFile type Win32 EXE MagicPE 32 executable for MS Windows (console) Intel 80386 32-bit\r\nFile size 1.06 MB (1107968 bytes)\r\nSource: https://blog.cyttek.com/2019/08/28/other-day-other-malware-in-the-way-died-exe/\r\nhttps://blog.cyttek.com/2019/08/28/other-day-other-malware-in-the-way-died-exe/\r\nPage 8 of 8",
	"extraction_quality": 1,
	"language": "ES",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://blog.cyttek.com/2019/08/28/other-day-other-malware-in-the-way-died-exe/"
	],
	"report_names": [
		"other-day-other-malware-in-the-way-died-exe"
	],
	"threat_actors": [],
	"ts_created_at": 1775433986,
	"ts_updated_at": 1775826755,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/bc86554237539c4f80c11626b11f70beaa7ff5c9.pdf",
		"text": "https://archive.orkl.eu/bc86554237539c4f80c11626b11f70beaa7ff5c9.txt",
		"img": "https://archive.orkl.eu/bc86554237539c4f80c11626b11f70beaa7ff5c9.jpg"
	}
}