Ploutus, un nuevo malware infecta Cajeros Automáticos en México

Por el octubre 14, 2013
Cajero pirata

SafenSoft logoLa empresa SafenSoft que tiene una alianza estrategica con Kaspersky y que incluyó el motor SDK del antivirus en su solución de protección de cajeros en Latinoamérica, alertó sobre un nuevo código malicioso que afecta principalmente Cajeros Automáticos (ATMs) en México. Este malware, identificado como “Ploutus”, posibilita la extracción de dinero de los cajeros de forma no autorizada, mediante un panel de control que permite definir la cantidad de dinero y las denominaciones a extraer.

De acuerdo a SpiderLabs, este malware incluye varias peculiaridades, entre ellas que requiere de un código de activación para funcionar. Al momento de la infección el código malicioso se conecta al teclado para leer información y si detecta cierta combinación de teclas aparece un panel de control que aparentemente se opera de forma táctil. Un elemento interesante de este panel es que las opciones aparecen en idioma español, por lo que se piensa que el programa se desarrolló en la región.

Haciendo el análisis de la muestra, se descubrió que se utilizaron lenguajes de programación basados en Microsoft .NET para el desarrollo del código malicioso. Mediante desensamblador y analizando diversos módulos, fueron identificados componentes que describen el funcionamiento del programa y la forma como interactúa con el sistema.

A través del teclado se pueden ingresar los siguientes comandos:

  • 12340000: Probar si el teclado está recibiendo comandos.
  • 12343570: Generar un identificador único para el ATM infectado.
  • 12343571XXXXXXXX: Activa el ATM ID generando un código de activación necesario para que el ATM dispense dinero y configura el cajero automático para que realice esta acción en un tiempo determinado por el atacante.
  • 12343572XX: Ordena al ATM que dispense XX número de billetes.

Si el delincuente conecta un teclado físico al ATM, presionando cierta combinación de teclas se puede acceder a la interfaz gráfica del malware que permite realizar las mismas acciones que con el teclado:

KasperskyEs común que en la creación de malware los desarrolladores utilicen funciones de cifrado para ofuscar ciertas partes del código y hacer más difícil su análisis y/o detección. En este caso se identificó la función Decrypt, que mostró indicios de que existía código protegido. Al hacer una revisión de las clases y los métodos se identificó el uso de la herramienta “Confuser” que es un empaquetador/ofuscador y es utilizado principalmente para dificultar técnicas de ingeniería inversa.

Otro detalle importante es que este malware interactúa directamente con los servicios del programa que opera el cajero, por lo que se sospecha que este fue desarrollado teniendo el suficiente conocimiento del funcionamiento de estos sistemas. El vector de infección del sistema es mediante un CD-ROM “booteable”, lo que requiere de acceso físico al equipo para poder comprometerlo.

Esta es una muestra en particular interesante no debido a su complejidad técnica sino a la poca cantidad de malware disponible enfocado a equipos ATM y sobre todo hacia Latinoamérica, y en este caso particularmente en México.

Se piensa que esta es una tendencia que puede ir en crecimiento debido a que desde 2009 ya se habían detectado muestras de malware que estaban diseñadas específicamente para atacar puntos de venta, o más recientemente cajeros automáticos en Estados Unidos.

Kaspersky detecta y neutraliza esta amenaza identificándola como Trojan-Banker.MSIL.Atmer.a. Se recomienda siempre mantener actualizados los sistemas de punto de venta o cajeros automáticos e instalar una solución antivirus, ya que el factor común en la mayoría de los ataques es el sistema operativo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>