http://www.netmedia.mx/b-secure/detectan-una-nueva-version-de-ploutus/
B:Secure

Detectan una nueva versión de Ploutus

La firma de seguridad FireEye alertó sobre una nueva versión de Ploutus, un poderoso malware que ha afectado a millones de cajeros automáticos en el mundo.

Ploutus-D es capaz de dañar a 40 diversos tipos de cajeros distribuidos en 80 países.

Fue en 2013, en México, cuando se descubrió Ploutus. Un grupo de cibercriminales vació cajeros usando un teclado externo conectado a los cajeros y mediante mensajes SMS con una técnica nunca antes vista.

Hoy esta nueva versión —alertó FireEye— es capaz de extraer miles de pesos en minutos. Para accionar el nuevo modelo, los delincuentes deben contar con una llave maestra para abrir la parte superior del cajero automático, conectar un teclado físico a la máquina e ingresar un código de activación para obtener el dinero. Si bien hay riesgos de que la persona sea captada por las cámaras, la velocidad de la operación minimiza el riesgo para el delincuente.

A diferencia de la versión anterior, Ploutus-D cuenta con una interfaz gráfica de usuario distinta, identifica y elimina procesos de monitoreo de seguridad y afecta a cajeros ATM que corren en Windows 10, Windows 8, Windows 7 y XP.

Ploutus-D al descubierto

Este malware es capaz de correr a través de un archivo ejecutable o “launcher” y entregar el dinero desde ahí. En esta versión, los atacantes fortalecieron el código de ingeniería inversa, de tal forma que no pueda ser alterado o se puedan instalar o desinstalar desde la máquina.

Entre las principales tareas que soporta el “launcher” figuran:

• Iniciar programas bajo demanda, algunos de los cuales se descifran de la sección de recursos del Launcher
o Main.exe
o XFSConsole.exe
• Kill Processes:
o NHOSTSVC.exe
o AgilisConfigurationUtility.exe
o XFSConsole.exe
• Borrado de archivos:
o NetOp.LOG – Secure Remote Management solution
• Reinicio de máquina:
o “wmic os where Primary=’TRUE’ reboot”

Ploutus-D se asegura de que no exista un “mutex” (algoritmos de exclusión mutua) en el sistema para comenzar a correr. Al igual que el Launcher, Ploutus-D conectará el teclado para que los atacantes interactúen con él. Sin embargo, además de recibir comandos de las teclas “F”, también leerá desde el teclado numérico.

De forma similar a la versión anterior, la interfaz GUI se habilita al ingresar una combinación de teclas F. Después se introduce un código válido de 8 dígitos para que el dinero se extraiga. Ploutus-D también permite solicitar la cantidad a retirar y repetir la operación de dispensación. El monto total también es calculado por el malware.

El uso del malware en los cajeros ATM continuará incrementándose, especialmente en países en vías de desarrollo con controles débiles de seguridad física. Ploutus puede ser fácilmente modificado para atacar a varios vendedores de ATM y sistemas operativos, concluyó la firma de seguridad.

Netmedia es mucha más que noticias. suscríbase y reciba lo mejor

Te recomendamos

Detectan una nueva versión de Ploutus