Ploutus, malware que afecta cajeros automáticos

octubre 16, 2013 § Deja un comentario

El pasado 27 de septiembre, la empresa SafenSoft hizo la primera llamada de alerta. Un código malicioso estaba afectando varios cajeros automáticos (ATM) en México, extrayendo miles de pesos de forma no autorizada. Ayer se dio a conocer toda la historia.

El malware, conocido como Ploutus (o ATMer), violaba la seguridad de los dispensadores de efectivo, mediante un panel de control que permitía definir la cantidad de dinero y las denominaciones a extraer cuando un usuario entraba a usar un servicio bancario.

De acuerdo a SpiderLabs, este malware incluye varias peculiaridades, entre ellas que requiere de un código de activación para funcionar, y al momento de la infección se conecta al teclado del cajero para leer información, y si detecta cierta combinación de teclas, aparece un panel de control que aparentemente se opera de forma táctil.

“Un elemento interesante de este panel es que las opciones aparecen en idioma español, por lo que se piensa que el programa se desarrolló en la región. Por temas de confidencialidad no se puede señalar que bancos fueron afectados, pero se sospecha que éste fue desarrollado teniendo el suficiente conocimiento del funcionamiento de estos sistemas”, dio a conocer a Excélsior Roberto Martínez, CEO de Kaspersky Lab en México.

Según las investigaciones, el vector de infección del sistema fue un CD-ROM, por lo que se requirió de acceso físico al equipo para poder afectarlo con el malware.

Pablo Ruiz Galindo, director general de la compañía Proac, que presta el servicio de cajeros automáticos (ATM) a bancos en México y uno de los afectados, dio a conocer ayer en entrevista con Excélsior que fueron dos las marcas principalmente las afectadas por hackers, a quienes se les robaron varios miles de pesos.

“Por confidencialidad no podemos especificar el monto perdido. Lo que si es que los usuarios no fueron afectados, este fue un robo directamente a los cajeros. Una vez colocado el malware, los criminales ordeñaban la máquina a través de un dispositivo móvil. Nosotros trabajamos rápidamente en un parche de seguridad, por lo cual sólo un cajero fue afectado. La información que tenemos es que a otras compañías les robaron de hasta 50 cajeros”, dijo Ruiz Galindo.

De Venezuela para México
Aseguró que una parte de la banda de delincuentes cibernéticos ya fue capturada y encerrada en el Reclusorio Oriente, y reveló que son de nacionalidad venezolana.

Según datos de empresas de seguridad, hubo tres marcas afectadas en el robo de los cajeros por parte de los hackers: NCR, Wincor y Proac.

“Se piensa que esta es una tendencia que puede ir en crecimiento, debido a que desde 2009 ya se habían detectado muestras de malware que estaban diseñadas específicamente para atacar puntos de venta o más recientemente cajeros automáticos en Estados Unidos”, añadió Roberto Martínez, cuestionado sobre lo que puede ocurrir en los próximos meses.

Agregó que ésta es una muestra (y 2) en particular interesante no debido a su complejidad técnica, sino a la cantidad de malware disponible enfocado a equipos ATM y sobre todo hacia Latinoamérica y en este caso particularmente en México.

Según la compañía de seguridad informática Norton, en nuestro país los ataques de malware afectan a las empresas con pérdidas anuales de 39 mil millones de pesos.

A escala mundial, el costo de este tipo de ciberataques es de 113 mil millones de dólares, de los cuales 38% son pérdidas por fraudes, 24% por reparaciones, 21% por pérdida de información robada y 17% por otros ataques.

Cómo funciona el malware Ploutus

  1. Al introducirse un CD-ROM en el sistema, se ejecuta como un servicio de Windows llamado NCRDRVPS.
  2. Los delincuentes crean una interfaz para interactuar con el software de ATM en un cajero automático, a través de la clase NCR.APTRA.AXFS
  3. Su nombre binario es PlotusService.exe
  4. Se crea una ventana oculta que puede ser activada por los delincuentes para interactuar con el cajero automático.
  5. Interpreta combinaciones de teclas específicas, introducidos por los delincuentes, como los comandos que se pueden recibir de un teclado externo (que debe conectarse a la ATM).
  6. Genera un ID en el cajero: número creado aleatoriamente asignado al cajero automático, basado en día y mes actual al momento de la infección.
  7. Activa el ID en el cajero: establece un temporizador para dispensar dinero. El malware “ordeña” el dinero dentro de las primeras 24 horas después de que se ha activado.
  8. Dispensa efectivo: se vierte el dinero solicitado por los delincuentes.
  9. Se reinicia el periodo de tiempo de dosificación del efectivo.

Fuente: Excelsior

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Ploutus, malware que afecta cajeros automáticos en Seguridad Informática.

Meta

A %d blogueros les gusta esto: