O Ploutus, uma das categorias mais avançadas de malware para caixas eletrônicos (ATMs), foi descoberta no México em 2013 e, desde então, tem se modificado de modo a permitir que cibercriminosos utilizem técnicas nunca observadas anteriormente, como teclado externo acoplado ao caixa eletrônico ou mensagens de texto, para efetuar o roubo de cédulas dos terminais.
Recentemente, pesquisadores do FireEye Labs, divisão da empresa de segurança FireEye, descobriram uma nova variante do malware, denominada Ploutus-D, a qual interage com a multiplataforma para ATM Kalignite, da KAL.
As amostras identificadas na pesquisa têm como alvo os caixas eletrônicos produzidos pela empresa alemã Diebold. Constatou-se também que uma simples mudança de código pode aumentar consideravelmente a quantidade de fornecedores de ATMs alvo, uma vez que plataforma da KAL funciona em 40 modelos de terminais, em 80 países.
Entenda o Ploutus-D
Sob nome técnico de “AgilisConfigurationUtility.exe”, o Ploutus-D pode ser executado como um aplicativo autônomo ou como um serviço iniciado via Launcher com o nome de “Diebold.exe”. A funcionalidade múltipla é compartilhada entre os dois componentes do malware Ploutus e Ploutus-D. Dentre as semelhanças, destacam-se:
· A finalidade principal de esvaziar o ATM sem requerer um cartão do mesmo;
· A necessidade de o invasor interagir com o malware por meio de um teclado externo conectado ao ATM;
· O código de ativação é gerado pelo chefe da operação criminosa e expira em 24h;
· Ambos foram criados em .NET;
· Executável como Windows Service ou aplicativo autônomo.
A capacidade de dispensar dinheiro no ATM é a principal diferença nesta variação Ploutus-D, assim como:
· Uso multiplataforma para ATM Kalignite, da KAL;
· Execução em ATMs que utilizam sistemas operacionais Windows nas versões XP, 7, 8 e 10;
· Configuração para controlar caixas eletrônicos da Diebold;
· Apresenta Inferface Gráfica do Utilizador (GUI, sigla em inglês) diferente da já observada;
· Seu Launcher identifica e elimina processos de monitoramento de segurança, evitando a detecção;
· Utiliza um forte ofuscador .NET, denominado Reactor.
Como funciona?
Uma vez implantado no terminal de caixa eletrônico, o malware Ploutus-D permite a obtenção de milhares de cédulas. O operador – conhecido como ‘mula’, pessoa contratada para transferência do dinheiro ilícito – deve ter uma chave-mestra para abrir a parte superior do caixa eletrônico, conectar um teclado e inserir o código de ativação fornecido pelo chefe da operação. Este processo é realizado rapidamente, de modo que os criminosos não se incomodem com a chance de serem filmados pelas câmeras de segurança.
O uso de malware para ATMs continuará a crescer, principalmente em países subdesenvolvidos que apresentam controles de segurança física mais frágeis. O vírus Ploutus poderá, inclusive, beneficiar-se da plataforma Kalignite e ser facilmente modificado para atacar diversos fornecedores de caixas eletrônicos, bem como seus sistemas operacionais.
O relatório completo da pesquisa está em: http://bit.ly/2ixKtK0.
A Pure Storage está redefinindo sua estratégia de mercado com uma abordagem que abandona o…
A inteligência artificial (IA) consolidou-se como a principal catalisadora de novos unicórnios no cenário global…
À primeira vista, não parece grande coisa. Mas foi na pequena cidade de Pornainen, na…
O processo de transição previsto na reforma tributária terá ao menos um impacto negativo sobre…
O que antes parecia uma aliança estratégica sólida começa a mostrar rachaduras. Segundo reportagem do…
O Departamento de Defesa dos Estados Unidos firmou um contrato de US$ 200 milhões com…