¡Llegamos a 27.278.323 visitas gracias a ustedes! ☆

Ploutus

De WikicharliE
Ploutus
Bienvenido a Departamento de Sistemas e Informática de WikicharliE

Presentación

Ploutus.png

Una amenaza informática permitiría saquear cajeros automáticos

Robar un cajero automático es un golpe muy atractivo para los ladrones, estamos hablando de una suerte de mueble repleto de billetes, pero a la vez muy difícil de abrir. Por lo tanto, las formas conocidas para robar un cajero automático incluyen: extraerlo y llevarlo a un lugar seguro donde romperlo y vaciarlo; utilizar un lector de tarjetas falso para clonar un tarjeta, o secuestrar a una persona y obligarla a sacar su dinero.

WikicharliE Patrimonio de Chile

Contenido

Pero ahora estaríamos ante la presencia de una nueva forma de vulnerar los cajeros automáticos, mediante un malware especial llamado Ploutus que permite interactuar con el software de los cajeros y obligar a la máquina a entregar todo el dinero que le digamos. Suena peligroso, y lo es.

Ploutus no requiere los datos personales de un usuario para funcionar, en ese sentido es un malware que no afecta a los usuarios, sino al cajero en sí, y por lo tanto a la entidad bancaria. SafenSoft, compañía que trabaja en alianza con Kaspersky, detecto por primera vez el accionar de Ploutus y desde entonces han recomendado el uso de diferentes mecanismos de protección en los cajeros de América Latina y Chile.

El cajero automático es infectado mediante un medio físico, insertando un disco de arranque en la unidad lectora de CD-ROM del cajero, así el programa se transfiere al sistema y permite el acceso al teclado y a las funciones específicas del aparato.

Por el tipo de amenaza, se sospecha que en el desarrollo de Ploutus esuvieron involucrados desarrolladores con acceso a los cajeros, de momento se detectaron cajeros infectados en México, pero nada descarta que la amenaza pueda expandirse a otros países. En los últimos días los principales bancos de Chile han comenzado a implementar nuevas medidas de seguridad y a reforzar la protección para evitar robos y situaciones conflictivas.[1]

Metodología de infección

Los delincuentes inyectarían el malware al cajero de forma física insertando un disco de arranque en la unidad de CD-ROM, para que transfiera el malware al sistema del cajero.

Al hacer esto, los criminales crean una interfaz para interactuar con el software del cajero comprometido y por ello serían capaces de retirar todo el dinero disponible de los recipientes que guardan el efectivo, también conocidos como casettes.

Algo que también es interesante de esta táctica es que al transferir el malware, los criminales también podrían leer toda la información tecleada por los dueños de las tarjetas a través del teclado del cajero automático, lo que les permitiría robar la información sensible sin utilizar ningún dispositivo externo como el descrito anteriormente al inicio del texto.

Aunque no se ha confirmado que otros países hayan sido afectados por esta amenaza, los bancos de otros países que usan el mismo software en sus cajeros podrían estar en riesgo.

Características técnicas

  • Se ejecuta como un servicio de Windows llamado NCRDRVPS.
  • Los criminales crearon una interfaz para interactuar con el cajero a través de una clase llamada NCR.APTRA.AXFS.
  • Su nombre binario es PloutusService.exe.
  • Fue desarrollado con. NET y ofuscado con el software Confuser 1.9.
  • Crea una ventana oculta que puede ser habilitada por los delincuentes para interactuar con el cajero automático.
  • Interpreta combinaciones de teclas específicas, introducidas por los delincuentes, como comandos que se pueden recibir ya sea desde un teclado externo (que debe conectarse al cajero) o directamente desde el teclado del cajero.

Qué hace

  • Genera un ID del Cajero – Aleatoriamente genera un número que es asignado al cajero infectado, basado en el día y mes al momento de la infección.
  • Activa el ID del Cajero – Establece un contador de tiempo para retirar el dinero. El malware entregará el dinero sólo dentro de las primeras 24 horas de haber sido activado.
  • Retira Efectivo: Entrega el dinero basado en la cantidad solicitada por los delincuentes
  • Reinicia (el servicio): Reinicia el contador de tiempo para entregar el dinero.

Proceso de retiro de efectivo

Según explica Symantec los criminales han aplicado ingeniería inversa al software del cajero para tomar control del mismo y, basándonse en el código fuente revisado, la empresa de seguridad informática infiere que Backdoor.

Ploutus funciona de la siguiente manera:

  • 1. Identificará el dispositivo dispensador en el cajero automático.
  • 2. A continuación, obtiene el número de cassettes por dispensador y los carga. En este caso, el malware supone que hay un máximo de cuatro cassettes por dispensador ya que conoce el modelo y diseño del cajero comprometido. Los casetes contienen los billetes disponibles en el cajero.
  • 3. Calcula la cantidad de dinero a entregar basado en el número de billetes solicitado por los criminales, multiplicado por la denominación actual de cada uno.
  • 4. Después inicia la operación de retiro de efectivo. Si el cassette implicado en este proceso tiene menos de 40 unidades (billetes) disponibles, no se retirará la cantidad solicitada y se entregará todo el dinero disponible en ese cassette.
  • 5. Por último, se repetirá el paso cuatro para todos los cassettes restantes hasta que todo el dinero sea retirado del cajero.

Por ello, recomienda mantener actualizados los sistemas de punto de venta y de cajero, así como tener instalada una solución de antivirus pues, como se ha visto, “el factor común de los ataques es el sistema operativo”.

El troyano crea las siguientes entradas de registro

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NCRDRVP
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NCRDRVP
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\NCRDRVPS
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NCRDRVP
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NCRDRVP
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\NCRDRVPS
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NCRDRVP
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NCRDRVP
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\NCRDRVPS

Programas para removerlo

  • Run Norton Power Eraser (NPE)
  • Norton Power Eraser did not remove this risk

Pizarra

Logo Pizarra WikicharliE.JPG
  • El virus de tipo troyano, cuyo nombre completo es “Backdoor.Ploutus“, fue descubierto el 4 de septiembre de 2013 y actualizado el 14 de octubre del mismo año.

Fuentes y Enlaces de interés

  1. ATM malware, controlled by a text message, spews cash/En ingles/Cons. 14 sept 2014

Visita otros de nuestros artículos

TODAS LAS PAGINAS.png
Haz click en el ícono
Herramientas personales
Espacios de nombres

Variantes
Vistas
Acciones
Navegación
Herramientas
Contacta a Orquesta Tabaco y Ron para Eventos y Matrimonios http://tabacoyron.cl/