Ploutus, un virus que extrae dinero de los cajeros automáticos.
La compañía de seguridad tecnológica Kaspersky detectó en días pasados un nuevo virus que afecta principalmente a los cajeros automáticos de México, el cual permite extraer dinero de forma no autorizada.
Este virus, denominado ‘Ploutus’, extrae el dinero de los cajeros a través de un panel de control que permite definir la cantidad exacta, así como las denominaciones de los billetes que los ciberdelincuentes quieren extraer.
En un comunicado, la empresa expone que este virus incluye varias peculiaridades, como un código de activación que detona el malware para conectarse con el teclado y leer la información que se digita en el cajero.
Si el virus detecta cierta combinación de teclas, aparece un panel que aparentemente se opera de forma táctil en idioma español, lo cual hace suponer que el programa se desarrolló en la región.
Otro detalle relevante es que el malware interactúa directamente con los servicios del programa que opera el cajero, por lo que se sospecha que el código fue desarrollado con el conocimiento suficiente de ese sistema, advierte.
Asimismo, Kaspersky indica que el vector de infección es mediante un CD-ROM de arranque que requiere de acceso físico al equipo, lo cual resulta ‘interesante debido a la poca cantidad de malware disponible enfocado en cajeros automáticos’.
La firma abunda que dicha tendencia puede ir en crecimiento debido a que desde 2009 ya se habían detectado muestras de malware que estaban diseñadas para atacar puntos de venta o cajeros en Estados Unidos.
Por ello, recomienda mantener actualizados los sistemas de punto de venta y de cajero, así como tener instalada una solución de antivirus pues, como se ha visto, ‘el factor común de los ataques es el sistema operativo’.
Este virus, denominado ‘Ploutus’, extrae el dinero de los cajeros a través de un panel de control que permite definir la cantidad exacta, así como las denominaciones de los billetes que los ciberdelincuentes quieren extraer.
En un comunicado, la empresa expone que este virus incluye varias peculiaridades, como un código de activación que detona el malware para conectarse con el teclado y leer la información que se digita en el cajero.
Si el virus detecta cierta combinación de teclas, aparece un panel que aparentemente se opera de forma táctil en idioma español, lo cual hace suponer que el programa se desarrolló en la región.
Otro detalle relevante es que el malware interactúa directamente con los servicios del programa que opera el cajero, por lo que se sospecha que el código fue desarrollado con el conocimiento suficiente de ese sistema, advierte.
Asimismo, Kaspersky indica que el vector de infección es mediante un CD-ROM de arranque que requiere de acceso físico al equipo, lo cual resulta ‘interesante debido a la poca cantidad de malware disponible enfocado en cajeros automáticos’.
La firma abunda que dicha tendencia puede ir en crecimiento debido a que desde 2009 ya se habían detectado muestras de malware que estaban diseñadas para atacar puntos de venta o cajeros en Estados Unidos.
Por ello, recomienda mantener actualizados los sistemas de punto de venta y de cajero, así como tener instalada una solución de antivirus pues, como se ha visto, ‘el factor común de los ataques es el sistema operativo’.
¿Como funciona?
1.- Al introducirse un CD-ROM en el sistema, se ejecuta como un servicio de Windows llamado NCRDRVPS.
2. Los delincuentes crean una interfaz para interactuar con el software de ATM en un cajero automático, a través de la clase NCR.APTRA.AXFS
3.- Su nombre binario es PlotusService.exe
4.- Se crea una ventana oculta que puede ser activada por los delincuentes para interactuar con el cajero automático.
5.- Interpreta combinaciones de teclas específicas, introducidos por los delincuentes, como los comandos que se pueden recibir de un teclado externo (que debe conectarse a la ATM).
6.- Genera un ID en el cajero: número creado aleatoriamente asignado al cajero automático, basado en día y mes actual al momento de la infección.
7.- Activa el ID en el cajero: establece un temporizador para dispensar dinero. El malware “ordeña” el dinero dentro de las primeras 24 horas después de que se ha activado.
8.- Dispensa efectivo: se vierte el dinero solicitado por los delincuentes.
9.-Se reinicia el periodo de tiempo de dosificación del efectivo.
No hay comentarios:
Publicar un comentario