Los investigadores de seguridad de FireEye han identificado una nueva variante del malware Ploutus ATM, utilizado para hacer expulsar dinero en los cajeros automáticos
La familia de malware Ploutus ATM apareció en 2013 y fue uno de los primeros que permitió a los ladrones conectar un teclado a los cajeros automáticos y hacer que escupan efectivo.
En 2014, otra versión Ploutus acaparó los titulares en todo el mundo debido a que permitía ladrones para máquinas mediante el envío de un mensaje SMS al cajero automático.
La Nueva versión de software malicioso Ploutus va dirigido a cajeros automáticos fabricados en Diebold
Según los investigadores, esta nueva variante fue descubierta en noviembre del 2016, cuando alguien ha subido una copia en el motor de análisis agregada VirusTotal.
Este error permitió a los investigadores tener en sus manos una copia de esta nueva versión, que apodaban Ploutus-D debido a las características que le permitieron dirigir específicamente los cajeros automáticos Diebold.
El análisis posterior reveló que, con modificaciones menores, Ploutus-D también podría apuntar a los cajeros automáticos de otros proveedores que construyeron sus cajeros automáticos en la Plataforma Kalignite, desplegados actualmente por 40 proveedores diferentes cajeros automáticos en 80 países.
Un teclado ayuda a ladrones vaciar cajeros automáticos
Al igual que en las variantes anteriores, los ladrones despliegan Ploutus-D si son capaces de acceder a los puertos ATM sin garantía donde se conectan un teclado a los puertos disponibles del ATM.
El teclado les permite el acceso al software de la ATM. Según los expertos, Ploutus-D se puede utilizar con eficacia contra los cajeros automáticos que se ejecutan en Windows 10, 8, 7 y XP.
Después de conectar el teclado, aparece una interfaz de línea de comandos, y los ladrones se puede utilizar el teclado para introducir combinaciones de Fx teclas para controlar el cajero automático, como por ejemplo: " F8 F1 F1 " o " F8 F4 F5 ."
Después de que los ladrones deciden sobre la cantidad de dinero que quieren robar, sólo tienen que presionar F3 y recoger su dinero.
De acuerdo con FireEye, para utilizar el software malicioso, los ladrones necesitan un código de 8 dígitos, válida sólo por 24 horas.
"Este código es proporcionado por el jefe a cargo de la operación y se calcula sobre la base de un identificador único generado por cajero automático, y el mes en curso y el día del ataque", segun Daniel Regalado, analista de malware FireEye.
Los investigadores de seguridad han identificado los ataques de malware Ploutus-D sólo en América Latina, pero saber cómo operan los ladrones, es sólo cuestión de tiempo hasta que esta amenaza hace su camino hacia el norte a través de la frontera, en los EE.UU. y Canadá.
