El malware Ploutus fue instalado después de que criminales obtuvieran acceso a la unidad de CD-ROM del cajero automático e insertaran un CD de arranque. Esto fue posible debido a que muchos cajeros automáticos en México utilizan un simple bloqueo que es fácilmente burlado, lo que permite a los atacantes tener acceso físico a las máquinas.

 

Los ataques donde se introduce malware en cajeros automáticos son raros, pero no quiere decir que no sucedan. Normalmente, para todas las formas de ataque se necesita primero colocar un troyano en el equipo.

 

Fraudes a cajeros automáticos basados en malware han involucrado a personal corrupto para que hagan un "agujero de seguridad" en las máquinas. Aprender cómo funciona un cajero automático haciéndose pasar por un técnico de reparación es innecesario gracias a Ploutus. Y tampoco se necesita de un genio investigador de seguridad para desarrollar un ataque al cajero automático.

 

Errores simples hicieron del servicio del cajero automático una presa fácil para los delincuentes mexicanos. La magnitud del robo, ya sea la cantidad de dinero perdido o cuántas máquinas fueron infectadas, no está claro. Sin embargo los detalles de cómo opera el malware si se conocen bien.

 

Trustwave, empresa de seguridad de la información, completó un análisis del malware después de obtener muestras del código malicioso. Los equipos infectados llevan a cabo sus funciones normales de dispensación de efectivo, pero si una combinación de teclas determinada se introduce en el dispositivo comprometido, se mostrará al atacante una interfaz gráfica oculta, escrita en español, con menues desplegables, aparentemente diseñados para una pantalla táctil.

 

Una vez que los ladrones ingresan un código de acceso, derivado de un número de identificación personal (PIN) de cuatro dígitos fijo, junto con las cifras correspondientes del día y mes, disponen del dinero del cajero automático comprometido.

 

"Si usted es un banco, el dueño o el operador de cajeros automáticos en México, tendrá que examinar sus máquinas para buscar evidencia de manipulación", aconseja Josh Grunzweig, un hacker ético del equipo de SpiderLabs de Trustwave. "Los bancos, dueños u operadores de cajeros automáticos fuera de México también podrían beneficiarse si se realiza una inspección en sus cajeros automáticos".

 

"Ejemplos de malware dirigido como Ploutus sirven como un recordatorio de la importancia de una revisión completa de seguridad de los cajeros automáticos y los sistemas detrás de su funcionamiento conectados a ellos", agregó Grunzweig.

 

Grunzweig ha creado una entrada en el blog de SpiderLabs explicando cómo funciona el malware, que incluye fragmentos de código y una captura de pantalla de la interfaz gráfica que ven los ciberdelincuentes una vez que el malware es instalado en los cajeros automáticos.

 

Esto es un fraude de cajeros automáticos sin tener que recurrir a lectores para robar los datos de la tarjeta de los clientes, u otros métodos más complejos. Hasta ahora los ataques basados en Ploutus fueron en cajeros automáticos ubicados en lugares fuera de las instalaciones bancarias, de acuerdo a la desarrolladora de software de seguridad para dispositivos de autoservicio, SafenSoft.

 

"La aparición de nuevo malware con capacidad de extraer directamente efectivo de los cajeros automáticos es una señal muy alarmante para la seguridad de dispositivos de autoservicio", advierte Stanislav Shevchenko, director de tecnología de SafenSoft. "El malware como este permite a los ciberdelincuentes saltarse todo el proceso de retiro de efectivo que tienen que usar después de instalar troyanos de cajeros automáticos tradicionales y de usar dispositivos lectores para robar la información de tarjetas".

 

"Además, al difundir malware los ciberdelincuentes pueden eludir fácilmente la protección tradicional del antivirus de los cajeros automáticos. Si ese troyano se distribuye masivamente, cualquier banco sin software de protección especializado en sus cajeros automáticos tendrá tiempos difíciles en el futuro ", añadió Shevchenko.