Nova variável do Ploutus é identificada em caixas eletrônicos

Descoberto em 2013, malware é um dos mais avançados e permite que cibercriminosos esvaziem ATMs por meio de técnicas originais, como conexão de teclado externo ou via mensagem SMS

Compartilhar:

A Ploutus, uma das categorias mais avançadas de malware para ATMs, foi descoberta no México em 2013 e, desde então, tem se modificado de modo a permitir que os cibercriminosos utilizem técnicas nunca observadas anteriormente. Teclado externo acoplado ao caixa eletrônico ou mensagens de texto, são alguns dos recursos usados para efetuar o roubo de cédulas dos terminais.

 

Recentemente, pesquisadores do FireEye Labs, divisão da FireEye, descobriram uma nova versão do malware, nomeada de Ploutus-D, o qual interage com a multiplataforma para ATM Kalignite, da KAL.

 

As amostras identificadas na pesquisa têm como alvo os caixas eletrônicos produzidos pela empresa alemã, Diebold. Constatou-se também que uma simples mudança de código pode aumentar consideravelmente a quantidade de fornecedores de ATMs alvo, uma vez que plataforma da KAL funciona em 40 modelos de terminais, em 80 países.

 

Entenda o Ploutus-D

 

Sob nome técnico de “AgilisConfigurationUtility.exe”, o Ploutus-D pode ser executado como um aplicativo autônomo ou como um serviço iniciado via Launcher com o nome de “Diebold.exe”. A funcionalidade múltipla é compartilhada entre os dois componentes do malware Ploutus e Ploutus-D. Dentre as semelhanças, destacam-se: a finalidade principal de esvaziar o ATM sem requerer um cartão do mesmo; a necessidade de o invasor interagir com o malware por meio de um teclado externo conectado ao ATM; o código de ativação é gerado pelo chefe da operação criminosa e expira em 24h; ambos foram criados em .NET; executável como Windows Service ou aplicativo autônomo.

 

A capacidade de dispensar dinheiro no ATM é a principal diferença nesta variação Ploutus-D, assim como: uso multiplataforma para ATM Kalignite, da KAL; execução em ATMs que utilizam sistemas operacionais Windows nas versões XP, 7, 8 e 10; configuração para controlar caixas eletrônicos da Diebold; apresenta Inferface Gráfica do Utilizador (GUI, sigla em inglês) diferente da já observada; seu Launcher identifica e elimina processos de monitoramento de segurança, evitando a detecção; utiliza um forte ofuscador .NET, denominado Reactor.

 

Como funciona?

 

Uma vez implantado no terminal de caixa eletrônico, o malware Ploutus-D permite a obtenção de milhares de cédulas. O operador – conhecido como ‘mula’, pessoa contratada para transferência do dinheiro ilícito – deve ter uma chave-mestra para abrir a parte superior do caixa eletrônico, conectar um teclado e inserir o código de ativação fornecido pelo chefe da operação. Este processo é realizado rapidamente, de modo que os criminosos não se incomodem com a chance de serem filmados pelas câmeras de segurança.

 

Conclusão

 

O uso de malware para ATMs continuará a crescer, principalmente em países subdesenvolvidos que apresentam controles de segurança física mais frágeis. O vírus Ploutus poderá, inclusive, beneficiar-se da plataforma Kalignite e ser facilmente modificado para atacar diversos fornecedores de caixas eletrônicos, bem como seus sistemas operacionais.

 

Conteúdos Relacionados

Security Report | Destaques

Programa de SI busca elevar maturidade cibernética nos órgãos do governo federal

Devido às novas responsabilidades que o Brasil assumiu com a Segurança Cibernética, a Secretaria de Governo Digital estabeleceu um programa...
Security Report | Destaques

Ameaça ou copiloto: Qual o papel da IA no futuro da Cibersegurança?

Tanto empresas de consultoria quanto a indústria de Segurança da Informação têm buscado entender como alcançar o equilíbrio entre usos...
Security Report | Destaques

Incidente cibernético gera instabilidade na cobrança do Bilhete Único

Ocorrência teria atingido uma das concessionárias da rede municipal de transportes, impactando na validação do Bilhete Único na zona Sul...
Security Report | Destaques

Cosan ganha visibilidade de segurança em nuvem com IA

Ferramenta de Inteligência Artificial AI Cloud Security trouxe novas configurações de Segurança para o projeto de nuvem em expansão da...