S21sec deteta variação de malware direccionado a ATMs
A S21sec, empresa focada em serviços e tecnologia de cibersegurança, detetou o reaparecimento do Ploutus, uma das famílias de malware de ATM mais sofisticadas. A nova variante designada Ploutus-D envolve uma técnica utilizada para roubar avultadas quantias de dinheiro de uma caixa multibanco sem necessidade de utilizar um cartão de crédito ou débito.
Embora apresente um conjunto de características semelhantes ao seu predecessor, a principal diferença do Ploutus-D é o facto de usar os componentes do software para ATM da KAL – Kalignite, utilizado por mais de 40 fornecedores dos sistemas das caixas de multibanco. Os componentes do Kalignite permitem que o Plotus-D abuse da camada XFS para obter o controlo total e ilegítimo dos dispositivos de hardware ATM como o dispensador, leitor de cartão e pinpad.
No que diz respeito ao funcionamento do Ploutus, cuja atividade foi detetada originalmente em 2013 no México, o malware tem acesso físico ao núcleo da CPU do ATM, do qual os cibercriminosos aproveitam o acesso às portas USB ou à unidade de CD-ROM para infetar o ATM. O Ploutus-D contém um executável (AgilisConfigurationUtility.exe) e um Launcher (Diebold.exe), podendo o primeiro ser executado como uma aplicação autónoma ou como um serviço instalado, esperando por uma combinação de teclas para ativar e assumir o controlo total do ATM a partir do teclado.
“Todos os ATM’s estão expostos a ataques de malware e, portanto, a aplicação de medidas de segurança robustas e eficientes torna-se uma necessidade básica e não negociável. É por isso que a S21sec tem vindo a apostar no desenvolvimento de soluções adaptadas às necessidades do setor bancário, como seu produto Lookwise Device Manager, projetado para gerir a segurança das redes ATM”, afirma Juan Ramón Aramendía, Product Marketing Manager da S21sec.
De acordo com o comunicado de imprensa, o ataque pode ser interrompido na fase de infeção através do bloqueio de dispositivos externos USB ou do teclado (HW Protection) e do criptografar do disco rígido (Full Disk Encryption) para evitar a manipulação fora do sistema operativo. Mesmo nos casos em que o ATM é infetado, a apropriação pode ainda ser bloqueado ao usar o aplicativo Whitelisting, uma camada de proteção que não permitirá que nem o Launcher nem o executável do malware sejam executados.