PLOUTUS-D: UNA NUEVA GENERACIÓN DEL MALWARE ATM VUELVE A GOLPEAR

wordpress1245

 

Un viejo conocido del malware ATM está de vuelta y esta vez con nuevas y avanzadas características. Ploutus, una de las familias de malware ATM más sofisticadas que existen, fue descubierta en México en 2013. Diseñado para el jackpotting en ATMs (técnica utilizada para robar grandes cantidades de dinero en metálico de un cajero sin tener que usar ninguna clase de tarjeta de crédito o débito), Ploutus ha sido ampliamente usado en los últimos años, dirigiéndose a cajeros NCR.

Una nueva variante de Ploutus, denominada Ploutus-D, ha sido descubierta recientemente por los investigadores de FireEye. Aunque su modus operandi es idéntico al de sus predecesores (como ya describimos en este post), la mayor novedad de Ploutus-D radica en que ahora utiliza componentes de Kalignite, un software para ATMs multifabricante de KAL que se ejecuta en más de 40 fabricantes diferentes de ATMs. Los componentes de Kalignite permiten a Ploutus-D abusar de la capa XFS para conseguir el completo control ilegítimo de los dispositivos hardware del ATM tales como el dispensador, el lector de tarjetas o el teclado. Hasta ahora, se ha observado que las muestras de malware se dirigen a ATMs Diebold. No obstante, esta nueva tecnología permitiría al malware diversificar sus objetivos y dirigirse a múltiples fabricantes en el futuro cercano.

Los ciberdelincuentes podrían haber obtenido acceso al software de KAL mediante el robo de ATMs físicos de los bancos (una táctica criminal ampliamente utilizada en Latinoamérica), o incluso mediante su compra a resellers autorizados.

Otras características novedosas de Ploutus-D son un GUI renovado, una ofuscación más robusta y un nuevo packaging con un Launcher que trata de identificar y eliminar soluciones de seguridad.

Ploutus-D es sólo un ejemplo más de que el malware ATM es un tema de actualidad y una gran preocupación para el sector bancario en los últimos tiempos, con un número de ataques que crece rápidamente y que se dirige a todo tipo de países y regiones.

 

Jackpotting ATM utilizando el Malware PLOUTUS-D

Ploutus-D permite a un atacante dar instrucciones al ATM para dispensar dinero sin la necesidad de una tarjeta de crédito o débito.

Ploutus-D requiere acceso físico al ATM para proceder a la infección y controlar el malware, y utiliza los componentes del software multifabricante Kalignite para tomar control del dispensador del cajero y su teclado a través de la capa XFS estándar.

Así funciona el ataque de Jackpotting de ATMs con Ploutus-D:

  • Los ciberdelincuentes consiguen el acceso físico al núcleo de la CPU del ATM rompiendo la fascia o mediante el uso de llaves.
  • Una vez han ganado acceso físico, consiguen acceso a los puertos USB o a la unidad de CD-ROM para infectar el ATM con el malware. Al mismo tiempo, conectan un teclado estándar para poder operar.
  • Ploutus-D contiene un ejecutable (AgilisConfigurationUtility.exe) y un Launcher (Diebold.exe). El ejecutable puede lanzarse como aplicación independiente o como servicio instalado por el Launcher, siendo controlado desde el teclado.
  • Ploutus-D se ejecuta en segundo plano esperando una combinación de teclas para su activación y toma de control del ATM. Más tarde, despliega un GUI personalizado que solicita un código de autorización para garantizar el control de la mula.
  • Si se otorga la autorización, PLOUTUS-D muestra detalles de la cantidad de dinero disponible en cada cajetín, y usa componentes XFS de Kalignite para interactuar con el dispensador de ATM, permitiendo así al ciberdelincuente lanzar múltiples comandos de dispensación de dinero hasta dejar el cajero sin efectivo (cash-out).
  • Los códigos de activación y dispensación se pueden enviar a PLOUTUS-D desde el teclado estándar conectado por el ciberdelincuente o desde el propio pinpad del ATM.
  • Por último, una vez se ha completado la acción de ‘cash-out’, PLOUTUS-D da la oportunidad de llevar a cabo un mecanismo de limpieza por el cual se elimina cualquier rastro del ataque.

 

Medidas de Seguridad contra el Malware de ATMs PLOUTUS-D

Los ataques de malware son una de las mayores preocupaciones en lo que a fraude de cajeros se refiere. Todo cajero está expuesto a ataques de malware ATM y, por ello, la aplicación de contramedidas robustas y eficientes se convierte en una necesidad básica e innegociable.

En el caso de PLOUTUS-D, se podría abortar el ataque en la fase de infección mediante el bloqueo de los dispositivo USB o teclados (protección Hardware), y cifrando el disco duro (Full Disk Encryption) para impedir la manipulación de este desde un sistema de arranque externo.

Aun suponiendo que el ATM hubiese sido infectado, todavía se podría parar el ataque mediante el uso de Application Whitelisting, una capa de protección que impediría ejecutar el Launcher (Diebold.exe) y el propio malware (AgilisConfigurationUtility.exe).

Además, resulta fundamental estar siempre vigilante y monitorizar de forma continua la red de ATMs ante actividades sospechosas, como las desconexiones o los reinicios, así como tener la capacidad de reaccionar de forma rápida y remota para identificar y desinfectar los cajeros comprometidos.

S21sec cuenta con soluciones adaptadas a las necesidades de la industria bancaria como Lookwise Device Manager, un producto que permite gestionar la seguridad de las redes de cajeros. Al mismo tiempo, S21sec cuenta con servicios de seguridad avanzados y especializados para la lucha contra el fraude de bancos e instituciones financieras.

Somos miembros de varias asociaciones del sector, tales como ATMIA y ATEFI.

 

Para más información, ponte en contacto con nosotros

 

Referencias

https://www.fireeye.com/blog/threat-research/2017/01/new_ploutus_variant.html

http://www.kal.com/en/kal-atm-news/ploutus-d-malware-targeting-multi-vendor-atm

 

 

JUAN RAMÓN ARAMENDÍA

PRODUCT MANAGER LOOKWISE

 

Recent Posts

Leave a Comment