S21sec deteta variação de malware direccionado a ATMs

Embora apresente um conjunto de características semelhantes ao seu predecessor, a principal diferença do Ploutus-D é o facto de usar os componentes do software para ATM da KAL – Kalignite, utilizado por mais de 40 fornecedores dos sistemas das caixas de multibanco. Os componentes do Kalignite permitem que o Plotus-D abuse da camada XFS para obter o controlo total e ilegítimo dos dispositivos de hardware ATM como o dispensador, leitor de cartão e pinpad.

No que diz respeito ao funcionamento do Ploutus, cuja atividade foi detetada originalmente em 2013 no México,  o malware tem acesso físico ao núcleo da CPU do ATM, do qual os cibercriminosos aproveitam o acesso às portas USB ou à unidade de CD-ROM para infetar o ATM. O Ploutus-D contém um executável (AgilisConfigurationUtility.exe) e um Launcher (Diebold.exe), podendo o primeiro ser executado como uma aplicação autónoma ou como um serviço instalado, esperando por uma combinação de teclas para ativar e assumir o controlo total do ATM a partir do teclado.

“Todos os ATM’s estão expostos a ataques de malware e, portanto, a aplicação de medidas de segurança robustas e eficientes torna-se uma necessidade básica e não negociável. É por isso que a S21sec tem vindo a apostar no desenvolvimento de soluções adaptadas às necessidades do setor bancário, como seu produto Lookwise Device Manager, projetado para gerir a segurança das redes ATM”, afirma Juan Ramón Aramendía, Product Marketing Manager da S21sec.

De acordo com o comunicado de imprensa, o ataque pode ser interrompido na fase de infeção através do bloqueio de dispositivos externos USB ou do teclado (HW Protection) e do criptografar do disco rígido (Full Disk Encryption) para evitar a manipulação fora do sistema operativo. Mesmo nos casos em que o ATM é infetado, a apropriação pode ainda ser bloqueado ao usar o aplicativo Whitelisting, uma camada de proteção que não permitirá que nem o Launcher nem o executável do malware sejam executados.