Malware Ploutus infecta a cajeros automáticos en América Latina

Muchos cajeros automáticos en la región corren en sistemas viejos y totalmente sin parches; Pistas reveladas durante la investigación indican que el malware fue desarrollado en la región.

Sunrise, FL, 23 de octubre de 2013 – Kaspersky Lab y SafenSoft, desarrollador ruso de soluciones avanzadas para software de seguridad y socio de Kaspersky Lab, alertaron sobre un nuevo código malicioso que afecta a Cajeros Automáticos (ATM’s) de la región, específicamente en México. El malware, identificado como “Ploutus”, permite extraer dinero de los cajeros de forma no autorizada mediante un panel de control que permite definir la cantidad de dinero y las denominaciones a extraer.

De acuerdo a varios análisis, este malware incluye diferentes peculiaridades, entre ellas que requiere de un código de activación para funcionar y al momento de la infección, el código malicioso se conecta al teclado para leer información. Al momento que el malware detecta cierta combinación de teclas, aparece un panel de control que aparentemente se opera de forma táctil. Según Roberto Martinez, analista de seguridad para Kaspersky Lab, un elemento interesante de este panel es que las opciones aparecen en idioma español, por lo que se piensa que el programa se desarrolló en la región.

“Existe una gran posibilidad que este ataque aparezca en otros países de la región, ya que se han dado casos en donde los cibercriminales comparten información y técnicas de ataques, lo que se suma a que muchos de estos ATMs no cuentan con una herramienta anti-malware. Además, en varios países de América Latina, muchos cajeros automaticos aún corren en Windows XP, y en algunos casos Win2000, sistemas viejos y totalmente sin parches. Todos estos factores ayudan a que ataques como estos sean exitosos”, comentó Martinez.

El análisis de la muestra reveló que se utilizaron lenguages de programación basados en Microsoft .NET para el desarrollo del código malicioso. Mediante el desensamble y análisis de diversos módulos, fueron identificados componentes que describen el funcionamiento del programa y la forma como interactua con el sistema.

Otro detalle importante es que este malware interactúa directamente con los servicios del programa que opera el cajero por lo que se sospecha que este fue desarrollado teniendo el suficiente conocimiento del funcionamiento de estos sistemas.

“El vector de infección del sistema es mediante un CD-ROM ‘booteable’ por lo que se requiere de acceso físico al equipo para poder comprometerlo. Esta es una muestra interesante no debido a su complejidad técnica sino a la poca cantidad de malware disponible enfocado a equipos ATM y sobre todo hacia Latinoamérica, y en este caso en particular, México”, expresó Martinez.

Analistas de Kaspersky Lab prevén este ataque como una tendencia que puede ir en crecimiento debido a que desde 2009 ya se habían detectado muestras de malware que estaban diseñadas específicamente para atacar puntos de venta o más recientemente a cajeros automáticos en Estados Unidos. Se recomienda siempre mantener actualizados los sistemas de punto de venta o cajeros automáticos e instalar una solución antivirus ya que el factor común en la mayoría de los ataques es el sistema operativo.

Kaspersky detecta y neutraliza esta amenaza identificándola como Trojan-Banker.MSIL.Atmer.a.