Nova variável do Ploutus é identificada em caixas eletrônicos

Descoberto em 2013, malware é um dos mais avançados e permite que cibercriminosos esvaziem ATMs por meio de técnicas originais, como conexão de teclado externo ou via mensagem SMS

Compartilhar:

A Ploutus, uma das categorias mais avançadas de malware para ATMs, foi descoberta no México em 2013 e, desde então, tem se modificado de modo a permitir que os cibercriminosos utilizem técnicas nunca observadas anteriormente. Teclado externo acoplado ao caixa eletrônico ou mensagens de texto, são alguns dos recursos usados para efetuar o roubo de cédulas dos terminais.

 

Recentemente, pesquisadores do FireEye Labs, divisão da FireEye, descobriram uma nova versão do malware, nomeada de Ploutus-D, o qual interage com a multiplataforma para ATM Kalignite, da KAL.

 

As amostras identificadas na pesquisa têm como alvo os caixas eletrônicos produzidos pela empresa alemã, Diebold. Constatou-se também que uma simples mudança de código pode aumentar consideravelmente a quantidade de fornecedores de ATMs alvo, uma vez que plataforma da KAL funciona em 40 modelos de terminais, em 80 países.

 

Entenda o Ploutus-D

 

Sob nome técnico de “AgilisConfigurationUtility.exe”, o Ploutus-D pode ser executado como um aplicativo autônomo ou como um serviço iniciado via Launcher com o nome de “Diebold.exe”. A funcionalidade múltipla é compartilhada entre os dois componentes do malware Ploutus e Ploutus-D. Dentre as semelhanças, destacam-se: a finalidade principal de esvaziar o ATM sem requerer um cartão do mesmo; a necessidade de o invasor interagir com o malware por meio de um teclado externo conectado ao ATM; o código de ativação é gerado pelo chefe da operação criminosa e expira em 24h; ambos foram criados em .NET; executável como Windows Service ou aplicativo autônomo.

 

A capacidade de dispensar dinheiro no ATM é a principal diferença nesta variação Ploutus-D, assim como: uso multiplataforma para ATM Kalignite, da KAL; execução em ATMs que utilizam sistemas operacionais Windows nas versões XP, 7, 8 e 10; configuração para controlar caixas eletrônicos da Diebold; apresenta Inferface Gráfica do Utilizador (GUI, sigla em inglês) diferente da já observada; seu Launcher identifica e elimina processos de monitoramento de segurança, evitando a detecção; utiliza um forte ofuscador .NET, denominado Reactor.

 

Como funciona?

 

Uma vez implantado no terminal de caixa eletrônico, o malware Ploutus-D permite a obtenção de milhares de cédulas. O operador – conhecido como ‘mula’, pessoa contratada para transferência do dinheiro ilícito – deve ter uma chave-mestra para abrir a parte superior do caixa eletrônico, conectar um teclado e inserir o código de ativação fornecido pelo chefe da operação. Este processo é realizado rapidamente, de modo que os criminosos não se incomodem com a chance de serem filmados pelas câmeras de segurança.

 

Conclusão

 

O uso de malware para ATMs continuará a crescer, principalmente em países subdesenvolvidos que apresentam controles de segurança física mais frágeis. O vírus Ploutus poderá, inclusive, beneficiar-se da plataforma Kalignite e ser facilmente modificado para atacar diversos fornecedores de caixas eletrônicos, bem como seus sistemas operacionais.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

“O maior inimigo da Segurança é a conveniência”, diz presidente da Genetec

Na visão de Pierre Racz, controles desajustados de Cibersegurança e de Segurança Corporativa podem ser burlados se a fricção com...
Security Report | Destaques

Hackers do bem: esse profissional já conquistou espaço nos times de SI?

Diante do aumento e sofisticação de ataques cibernéticos, a demanda por especialistas que atuam para encontrar vulnerabilidades e auxiliar os...
Security Report | Destaques

Crise com software espião reabre discussões sobre Ciberespionagem no Brasil

Desde a última semana, as autoridades federais têm movido processos e ações de investigação com vistas a entender a extensão...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo o Esporte Clube Vitória, a Assembleia Legislativa de Roraima, os serviços...