Malware en Cajeros Automáticos Mexicanos

Ha pasado casi 4 años desde que manifesté en este mismo blog mi preocupación por las precarias medidas de seguridad que tenían los cajeros automáticos en el post ATM’s con Windows: Una amenaza latente. En esa época, los incidentes de seguridad a nivel de software (instalación de código malicioso) estaban limitados a Europa del Este, sin embargo, al parecer ésta amenaza ha migrado a Latinoamérica teniendo en cuenta el recientemente reporte del proveedor de soluciones de seguridad informática ruso SafenSoft sobre un nuevo malware, “Ploutus”, encontrado en cajeros automáticos (ATM’s) en México.

Trustwave, la misma compañía que analizó otro malware encontrado en ATM’s rusos en 2009, publicó en su blog un análisis preliminar de Ploutus el cual comparte las siguientes características con su antecesor:

  • Funcionan en cajeros automáticos con sistema operativo Windows (los programas maliciosos fueron desarrollados en Borland Delphi y Microsoft .NET).
  • Los delincuentes requieren de acceso físico para instalar el malware. En el caso de Ploutus se confirmó que fue posible instalarlo utilizando la unidad de CD-ROM y un CD de inicio.

Sin embargo, existen varias diferencias importantes entre estas dos amenazas. La primera es que la funcionalidad principal del malware del 2009 era capturar los datos de la banda magnética y claves digitadas en el PIN pad con lo cual el objetivo del atacante era específicamente el usuario final. Por otro lado, en el caso de Ploutus, su funcionalidad principal es dispensar billetes cuando lo desee el atacante por lo que el afectado es la entidad financiera que coloca el dinero y no los productos bancarios del usuario.

Adicionalmente, a diferencia del caso en 2009 que utilizaba una tarjeta especial para configurar y administrar el malware, Ploutus es controlado mediante el keypad o utilizando un teclado físico conectado al ATM por los delincuentes. A través del keypad se pueden ingresar los siguientes comandos:

  • 12340000: Probar si el teclado está recibiendo comandos.
  • 12343570: Generar un identificador único para el ATM infectado.
  • 12343571XXXXXXXX: Activa el ATM ID generando un código de activación necesario para que el ATM dispense dinero y configura el cajero automático para que realice esta acción en un tiempo determinado por el atacante.
  • 12343572XX: Ordena al ATM que dispense XX número de billetes.

De otra parte, si el delincuente conecta un teclado físico al ATM, presionando cierta combinación de teclas se puede acceder a la interfaz gráfica del malware que permite realizar las mismas acciones que con el keypad:

Ploutus_GUI

Fuente: Trustwave SpiderLabs

Un detalle interesante de la imagen anterior es que se encuentra en español por lo que se sospecha que los desarrolladores del malware sean latinoamericanos teniendo en cuenta que en el código fuente algunos textos en inglés contienen errores gramaticales y los nombres de las funciones también están en español.

El descubrimiento de Ploutus evidencia que este tipo de amenazas ya no son exclusivas de los países de Europa del Este como sucedía hace en el 2009 y que ahora son una realidad en Latinoamérica por lo que es importante que los fabricantes de cajeros automáticos y las entidades financieras refuercen las medidas de seguridad de los ATM para prevenir futuros ataques en la infraestructura bancaria Latinoamericana.

Categories: Fraude electrónico, Malware, Seguridad Informática

Leave a Reply

Your email address will not be published. Required fields are marked *