“Ploutus”, o vírus que rouba caixas automáticas (ATM)

21 out 2013
Notícias de Spam

Lisboa, 21 de Outubro de 2013

  • Kaspersky Lab alerta para este novo vírus detectado no México e que afecta principalmente os bancos, não os utilizadores, através das caixas automáticas

  • O malware interage directamente com os serviços do programa que opera o ATM pelo que se suspeita que foi desenvolvido por quem tem amplo conhecimento do funcionamento destes sistemas

Todos os dias aparecem novas ameaças informáticas nos dispositivos mais inesperados. Os cibercriminosos atacam sistemas GPS, Smart TVs, consolas de jogos,… e agora também caixas automáticas (ATMs). Além disso, a globalização económica e empresarial também já chegou ao cibercrime e os atacantes vêem esta zona geográfica como uma área atraente tanto para o desenvolvimento de novo malware como para o ataque a utilizadores e sistemas.

A Kaspersky Lab alerta para a detecção no passado mês de Setembro de um novo código malicioso que afecta principalmente caixas automáticas (ATMs) de bancos no México. Este malware identificado como “Ploutus” facilita a extracção de dinheiro das caixas de forma não autorizada através um painel de controlo que permite definir a quantia.

De acordo com a SpiderLabs, este malware conta com várias particularidades.

A primeira delas é que requer um código de activação para poder funcionar. No momento da infecção, o código malicioso liga-se ao teclado para ler informação e, se detectar uma certa combinação de teclas, aparece um painel de controlo que aparentemente opera de forma táctil. O painel e as opções que aparecem estão em castelhano, pelo que se conclui que o programa foi desenvolvido para atacar em zonas de idioma hispânico.
Fazendo a análise da amostra descobriu-se o uso de linguagens de programação baseadas em Microsoft .NET para o desenvolvimento do código malicioso. Através da desmontagem e análise de diversos módulos, foram identificados componentes que descrevem o funcionamento do programa e a forma como interage com o sistema.

Outro detalhe importante é que este malware interage directamente com os serviços do programa que opera o ATM pelo que se suspeita que este foi desenvolvido por alguém com largos conhecimentos do funcionamento destes sistemas. Além disso, o vetor de infecção do sistema é através um CD-ROM “boot” pelo que é necessário ter acesso físico ao equipamento para poder comprometê-lo.

Esta é uma amostra interessante, na medida em que é relativamente invulgar a existência de malware que tem por alvo específico as caixas automáticas dos bancos. No entanto, este tipo de ameaças pode começar a crescer no futuro próximo.
A Kaspersky detecta e neutraliza esta ameaça identificando-a como Trojan-banker.msil.atmer.a. Recomenda-se que os bancos se certifiquem da segurança física dos seus sistemas ATM, que os mantenham sempre actualizados e que tenham soluções antivírus devidamente instalados nos equipamentos.

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.