“Ploutus”, el virus que roba a los cajeros automáticos.

La compañía de seguridad Kaspersky detectó hace unos días pasados un nuevo virus que ataca a los cajeros automáticos por ahora solo en el país de México, Este malware ha sido identificado como “Ploutus” el cual facilita la extracción de dinero de los cajeros de forma no autorizada mediante un panel de control que permite definir la cantidad.

De acuerdo con Spider Labs, este malware incluye varias peculiaridades. La primera de ellas es que necesita de un código de activación especifico para funcionar. En el momento de la infección, el malware mediante el código malicioso se conecta al teclado para leer información y si detecta cierta combinación de teclas aparece un panel de control que aparentemente funciona de forma táctil. El panel y las opciones que aparecen están en español, por lo que se sabe que el programa fue creado para hacer ataques a las zonas de habla hispana.

Spider Labs logro conseguir un CD-ROM de ploutus y haciendo un breve análisis del CD se descubrió el uso de lenguajes de programación basados en Microsoft.NET para el desarrollo del código malicioso. Mediante el análisis de diversos módulos, fueron identificados componentes que describen como funciona el programa y la forma como interactúa con el sistema operativo del cajero.

Otro detalle muy importante es que este malware interactúa directamente con el sistema operativo que opera en el cajero automático, por lo que se sospecha que el que desarrollo este malware lo hicieron teniendo  el conocimiento del funcionamiento de estos sistemas. Además, La manera de infección de este código malicioso es mediante el CD-ROM como ya menciones lo que quiere decir que se requiere de acceso físico al cajero para poder comprometerlo.

La compañoia Kaspersky logro detecta y neutraliza esta amenaza identificándola en el sistema como Trojan-Banker.MSIL.Atmer.a. y la empresa de seguridad Symantec lo identifico como un virus de tipo troyano, cuyo nombre completo es “Backdoor.Ploutus“

Metodología de Infección

Los delincuentes introducen el malware al cajero de forma física insertando un disco de arranque en la unidad de CD-ROM, para que transfiera el código malicioso al sistema del cajero.

Al hacer esto, los hacker crean una interfaz para interactuar con el sistema del cajero y por ello son  capaces de retirar todo el dinero disponible en los recipientes que guardan el dinero, que se conocen como casettes.

Algo que también llama la atención  de esta táctica es que al transferir el malware, los hacker también podrían leer toda la información tecleada por los dueños de las tarjetas a través del teclado del cajero automático, lo que les permitiría robar la información sensible sin utilizar ningún dispositivo.

Aunque no se ha confirmado que otros países hayan sido afectados por esta amenaza, los bancos de otros países que utilizan el mismo sistema en sus cajeros podrían estar en riesgo.

El malware luego de ser introducido en el cajero, se activa 24 horas después. En ese tiempo, de forma remota los hacker controlan funciones como el dispensador de dinero y los menús del cajero; todo esto sin afectar el aspecto de la pantalla ya que los clientes se darían cuenta de lo que está sucediendo.

Características

1.      Se ejecuta como un servicio de Windows llamado NCRDRVPS.

2.      Los criminales crearon un panel para interactuar con el cajero a través de una clase llamada NCR.APTRA.AXFS.

3.      el nombre del malware en binario es PloutusService.exe.

4.      Fue desarrollado con el lenguaje de programación. NET y encubierto con el software Confuser 1.9.

5.      Crea una ventana oculta que puede ser habilitada por los delincuentes para interactuar con el cajero automático.

6.      Interpreta combinaciones de teclas específicas, introducidas por los delincuentes, como comandos que se pueden recibir ya sea desde un teclado externo (que debe conectarse al cajero) o directamente desde el teclado del cajero.

Captura de la interfaz del malware (cortesía de Spider Labs)

Opinión: Cada día aparecen nuevas amenazas informáticas en los dispositivos más inesperados. Los ciberdelincuentes atacan Celulares, SmarTV, GPS, consolas de video juegos,  y ahora también cajeros automáticos. Tomando en cuenta que los usuarios de los cajeros automáticos no están siendo afectados directamente, sino que son las instituciones financieras las que están siendo objeto del ataque de estos delincuentes. Le recomendaría que le brinden seguridad a sus sistemas de cajeros automáticos que le instalen un antivirus para evitar un poco el daño porque como se puede ver el malware ataca el sistema operativo del cajero, esto quiere decir que con un antivirus se podría evitar esto y también no dejar la unidad CD-ROM a disposición de los clientes.

Fecha: Martes 22 de octubre del 2013

Enlace: http://aristeguinoticias.com/1510/mexico/como-ploutus-roba-a-los-cajeros-automaticos/ 

Nombre: Jonathan Sánchez