FireEye detecta malware con potencial de afectar 40 tipos de cajeros ATM en 80 países

Publicado el 26 Ene 2017

20170127p2

FireEye presentó los resultados sobre un estudio de los daños que produce Ploutus, uno de los malwares más avanzados de los últimos años y que afecta a los cajeros automáticos (ATM).

Este malware se descubrió por primera vez en México en 2013 cuando un grupo de cibercriminales vació cajeros usando un teclado externo conectado a los cajeros y mediante mensajes SMS con una técnica nunca antes vista.

FireEye identificó una versión de Ploutus que no había sido detectada: Ploutus-D, considerada una versión que encontrará un amplio campo para afectar, ya que la plataforma que daña funciona en 40 diversos tipos de cajeros distribuidos en 80 países.

Una vez desplegado en un cajero automático, Ploutus-D permite extraer miles de pesos en minutos, pero para actuar, el delincuente debe tener una llave maestra para abrir la parte superior del cajero automático, conectar un teclado físico a la máquina e ingresar un código de activación para obtener el dinero. Si bien hay riesgos de que la persona sea captada por las cámaras, la velocidad de la operación minimiza el riesgo para el delincuente.

Entre las características no observadas anteriormente de Ploutus-D, destaca que se despliega en los cajeros ATM que corren en Windows 10, Windows 8, Windows 7 y XP; tene una Interfaz Gráfica de Usuario (GUI) distinta, e incluye una característica que identifica y elimina los procesos de monitoreo de seguridad para evitar la detección.

Ploutus-D puede correr a partir de un archivo ejecutable o “launcher” y a partir de ahí entregar dinero. En esta versión del malware los atacantes se esforzaron más en confundir y proteger su código de ingeniería inversa. El launcher se diseñó por los ciberatacantes de forma que no pueda ser alterado, y puede instalar, ejecutar Ploutus-D o desinstalarlo desde la máquina.

El atacante interactúa con el launcher realizando el ataque a través de un teclado para cajeros ATM vía USB u otro puerto

Una vez que el launcher ha sido instalado en el cajero, se conecta con el teclado para recibir las instrucciones de los atacantes, quienes utilizan una combinación de teclas “F” para ejecutar la acción.

A continuación, el software KAL ATM legítimo se carga en el sistema junto con Ploutus-D para que todo el software y las versiones necesarias para ejecutar correctamente el malware están presentes en la misma carpeta para evitar cualquier problema de dependencia. (La misma técnica también fue utilizada por la primera versión de Ploutus).

Esto muestra que los atacantes probablemente tienen acceso al software ATM. Asimismo, pueden comprar cajeros automáticos físicos que vienen precargados con software de proveedores, o simplemente podrían robar los cajeros automáticos directamente desde las instalaciones del banco.

Ploutus-D se asegura de que no exista un “mutex” (algoritmos de exclusión mutua) en el sistema para comenzar a correr. Al igual que el Launcher, Ploutus-D conectará el teclado para que los atacantes interactúen con él. Sin embargo, además de recibir comandos de las teclas “F”, también leerá desde el teclado numérico.

De forma similar a la versión anterior, la interfaz GUI se habilita al ingresar una combinación de teclas F. Después se introduce un código válido de 8 dígitos para que el dinero se extraiga. Ploutus-D también permite solicitar la cantidad a retirar y repetir la operación de dispensación. El monto total también es calculado por el malware.

Para que el delincuente pueda empezar a extraer dinero, debe ingresar un código válido de ocho dígitos, el cual es proporcionado por el encargado de la operación y se calcula sobre la base de un ID único generado por ATM, el mes y día actuales del ataque. Una vez que se ha introducido un código de activación válido (válido por 24 horas), el proceso de entrega comienza pulsando “F3” desde el teclado externo.

Tal como FireEye anticipó en el Reporte de Predicciones 2017, el uso del malware en los cajeros ATM continuará incrementándose, especialmente en países en vías de desarrollo con controles débiles de seguridad física. Ploutus puede ser fácilmente modificado para atacar a varios vendedores de ATMs y sistemas operativos.

¿Qué te ha parecido este artículo?

¡Síguenos en nuestras redes sociales!

Redacción

Artículos relacionados

Artículo 1 de 3