Família de malware dirigido a ATMs volta a ser uma preocupação

A nova família de malware, uma nova variante designada Ploutus-D, carateriza-se por roubar avultadas quantias de dinheiro de uma caixa multibanco sem necessidade de utilizar um cartão de crédito ou débito.

“Os ataques de malware são uma das maiores preocupações na fraude ATM. Os cibercriminosos são extremamente ágeis e inovadores na produção de novos tipos de ataques, mas também são ajudados pelas muito pobres medidas de segurança atualmente implementadas em muitas redes ATM”, afirma Juan Ramón Aramendía, Product Marketing manager da S21sec.

Embora apresente um modus operandi semelhante ao seu predecessor Ploutus, esta nova variante recorre aos componentes do software para ATM da KAL – Kalignite, utilizado por mais de 40 diferentes fornecedores dos sistemas das caixas de multibanco. Os componentes do Kalignite permitem que o Plotus-D abuse da camada XFS para obter o controlo total e ilegítimo dos dispositivos de hardware ATM como o dispensador, leitor de cartão e pinpad.

Uma vez alcançado o acesso físico ao núcleo da CPU do ATM, os cibercriminosos aproveitam o acesso às portas USB ou à unidade de CD-ROM para infetar o ATM com o malware, realizando a operação através da instalação de um teclado padrão.

O Ploutus-D contém ainda um executável (AgilisConfigurationUtility.exe) e um Launcher (Diebold.exe), podendo o primeiro ser executado como uma aplicação autónoma ou como um serviço instalado, esperando por uma combinação de teclas para ativar e assumir o controlo do ATM a partir do teclado.

De seguida, exibe uma GUI personalizada pedindo um código de autorização, para garantir o controlo da mula. Se a autorização for concedida, o Ploutus-D mostra os detalhes da quantidade de dinheiro disponível e utiliza os componentes XFS da Kalignite para interagir com o distribuidor ATM, permitindo que sejam emitidos vários comandos de dispensa para esvaziar o dinheiro. Finalmente, após a conclusão do "cash-out", o Ploutus-D fornece um mecanismo de limpeza para remover quaisquer vestígios do ataque.

“Todos os ATMs estão expostos a ataques de malware e, portanto, a aplicação de medidas de segurança robustas e eficientes torna-se uma necessidade básica e não negociável. É por isso que a S21sec tem vindo a apostar no desenvolvimento de soluções adaptadas às necessidades do setor bancário, como seu produto Lookwise Device Manager, projetado para gerir a segurança das redes ATM”, afirma Juan Ramón Aramendía.

No caso do Ploutus-D, o ataque pode ser interrompido na fase de infeção através do bloqueio de dispositivos externos USB ou do teclado (HW Protection) e do criptografar do disco rígido (Full Disk Encryption) para evitar a manipulação fora do sistema operacional. Mesmo nos casos em que o ATM é infetado com Ploutus-D, o ataque pode ainda ser bloqueado usando o aplicativo Whitelisting, uma camada de proteção que não permitirá executar o Launcher (Diebold.exe) nem o executável de malware (AgilisConfigurationUtility.exe).