Un atacante puede controlar un modelo de ATM no identificado y vaciar los módulos de efectivo del cajero a través de cierto tipo de comandos comandos.

De acuerdo a la firma de seguridad Symantec, el programa malicioso encontrado en cajeros ATM en México fue mejorado y traducido al idioma inglés, lo que indica que puede ser utilizado en otra parte. Fueron descubiertas dos versiones del malware llamado Ploutus, cuyo diseño permite extraer todo el dinero de un tipo de cajero ATM, el cual aún no es identificado por Symantec.

En contraste con la mayoría del malware, Ploutus es instalado a la antigua: insertando un CD de arranque en los cajeros ATM que utilizan el sistema operativo Microsoft Windows. El método de instalación sugiere que los cibercriminales atacan cajeros cuyo acceso al sistema es fácil.

La primera versión de Ploutus despliega una interfaz gráfica de usuario después de que el cibercriminal introduce una secuencia numérica directamente en el teclado del cajero, aunque el malware puede ser controlado desde un teclado externo, dijo Daniel Regalado, un analista de malware de Symantec el 11 de octubre. Ploutus está programado para un modelo específico de ATM, pues el malware asume que hay un máximo de 4 módulos por cajero. El programa calcula la cantidad de dinero que debe retirarse de acuerdo al número de billetes. Si alguno de los casetes tiene menos billetes que la cantidad máxima (40) los retira, repitiendo este proceso hasta que el cajero automático queda vacío.

Kevin Haley, director de respuesta en seguridad de Symantec, dijo en una entrevista a inicios de este mes que los cibercriminales tienen conocimientos profundos del software y hardware del modelo ATM que han atacado. "Conocen exactamente el funcionamiento de esta máquina", dijo.

"El código fuente de Ploutus contiene funciones nombradas en español y la gramática usada en inglés es deficiente, lo que sugiere que el malware fue programado por desarrolladores de habla hispana", escribió Regalado. En una nueva publicación en el blog de Symantec, Regalado escribió que los atacantes hicieron a Ploutus más robusto y lo tradujeron al inglés, lo que indica que el software del ATM puede ser explotado en otros países además de México.

La variante 'B' de Ploutus tiene algunas diferencias. Solo acepta comandos a través del teclado del ATM y despliega una ventana que muestra la cantidad de dinero disponible en el cajero junto con un registro de las transacciones realizadas, mientras se retira el dinero. Un atacante no puede elegir la denominación de los billetes, así que Ploutus retirará dinero del cajero con los billetes de mayor denominación disponibles, escribió Regalado.

Symantec aconsejó a los administradores de los ATM que cambien el orden de inicio del BIOS para que este inicie directamente desde el disco duro y no desde CDs, DVDs o USBs. Además, el BIOS debe estar protegido por contraseña para que las opciones de inicio no puedan ser cambiadas, escribió Regalado.