1

Se extiende malware que ataca a ATM

KASPERSKY LAB
Los ATM son blanco de malware.

Un grupo de cibercriminales han encontrado la forma de obtener dinero a partir de cierto tipo de ATM, a través de mensajes de texto.

El último desarrollo fue descubierto por Symantec, que ha escrito periódicamente sobre un tipo de software malicioso al que llama “Ploutus”, que apareció por primera vez en México.

El malware ha sido creado para atacar cierto tipo de ATM, que Symantec no ha identificado. La compañía obtuvo uno de estos ATMs para llevar a cabo una prueba de cómo trabaja Ploutus, pero no mostró una marca.

Ploutus no es la pieza de malware más fácil de instalar, ya que los ciber criminales tienen que tener acceso a la máquina. Por ello es probable que los ciber criminales estén apuntando a ATMs individuales, ya que es más fácil obtener acceso a todas las partes de la máquina.

Las versiones iniciales de Ploutus permitían que fuera controlado a través de una interfaz numérica en un ATM o por un teclado que se conectaba a él. Pero la última versión muestra un nuevo desarrollo: ahora se puede controlar de manera remota vía un mensaje de texto.

En esta variación, los atacantes logran abrir un ATM y conectar un teléfono móvil que actúa como un controlador, a un puerto USB dentro de la máquina. El ATM también debe estar infectado con Ploutus.

“Cuando el teléfono detecta un nuevo mensaje bajo el formato requerido, el equipo móvil convertirá el mensaje en un paquete para la red y lo reenviará al ATM a través del cable USB”, escribió Daniel Regalado, un analista de malware de Symantec, en un post el lunes.

Cómo funciona el malware

Ploutus tiene un monitor de paquetes de red que vigila el tráfico que llega al ATM, escribió. Cuando detecta un paquete TCP o UDP desde un teléfono, el módulo busca el número 5449610000583686 en un lugar específico para procesar todo el paquete de datos, dijo.

Luego lee los siguientes 16 dígitos y lo usa para generar una línea de comando para controlar Ploutus.

¿Por qué hacer esto? Regalado escribió que es más discreto y que trabajar de manera casi instantánea. La versión pasada de Ploutus requiere que alguien use el teclado o ingrese una secuencia de dígito a un teclado de un ATM para iniciar Ploutus. Ambos métodos aumentan el tiempo que uno pasa en frente de la máquina, aumentando el riesgo de detección.

Ahora, el ATM puede ser accionado para que entregue dinero, y solo hace falta que alguien pase a recogerlo.

“El criminal sabe exactamente cuánto está obteniendo la máquina”, escribió.

Symantec dio la alarma que casi el 95 por ciento de los ATMs aún corren Windows XP, la versión de 13 años del sistema operativo de Microsoft. La empresa está terminando el soporte para Windows XP el 8 de abril, pero está ofreciendo soporte adicional para los sistemas donde Windows XP se pre instaló, como es el caso de los ATM, hasta enero de 2016.

No obstante, Symantec dijo que “la industria de la banca está enfrentando un riesgo de cibercriminales apuntando a su flota de ATM”.

Fuente: CIO / Jeremy Kirk / 25-03-14

Conéctese a la actualidad tecnológica e informática cada mañana. ¡Suscríbase gratis a nuestro Newsletter!