Kaspersky Lab y SafenSoft, desarrollador ruso de soluciones avanzadas para software de seguridad y socio de Kaspersky Lab, alertaron sobre un nuevo código malicioso que afecta a Cajeros Automáticos (ATM's) de la región, específicamente en México.
Muchos cajeros automáticos en la región corren en sistemas viejos y totalmente sin parches;
Pistas reveladas durante la investigación indican que el malware fue desarrollado en la región
Sunrise, FL, 17 de octubre de 2013 – Kaspersky Lab y SafenSoft, desarrollador ruso de soluciones avanzadas para software de seguridad y socio de Kaspersky Lab, alertaron sobre un nuevo código malicioso que afecta a Cajeros Automáticos (ATM's) de la región, específicamente en México. El malware, identificado como “Ploutus”, permite extraer dinero de los cajeros de forma no autorizada mediante un panel de control que permite definir la cantidad de dinero y las denominaciones a extraer.
De acuerdo a varios análisis, este malware incluye diferentes peculiaridades, entre ellas que requiere de un código de activación para funcionar y al momento de la infección, el código malicioso se conecta al teclado para leer información. Al momento que el malware detecta cierta combinación de teclas, aparece un panel de control que aparentemente se opera de forma táctil. Según Roberto Martinez, analista de seguridad para Kaspersky Lab, un elemento interesante de este panel es que las opciones aparecen en idioma español, por lo que se piensa que el programa se desarrolló en la región.
“Existe una gran posibilidad que este ataque aparezca en otros países de la región, ya que se han dado casos en donde los cibercriminales comparten información y técnicas de ataques, lo que se suma a que muchos de estos ATMs no cuentan con una herramienta anti-malware. Además, en varios países de América Latina, muchos cajeros automaticos aún corren en Windows XP, y en algunos casos Win2000, sistemas viejos y totalmente sin parches. Todos estos factores ayudan a que ataques como estos sean exitosos”, comentó Martinez.
El análisis de la muestra reveló que se utilizaron lenguages de programación basados en Microsoft .NET para el desarrollo del código malicioso. Mediante el desensamble y análisis de diversos módulos, fueron identificados componentes que describen el funcionamiento del programa y la forma como interactua con el sistema.
Otro detalle importante es que este malware interactúa directamente con los servicios del programa que opera el cajero por lo que se sospecha que este fue desarrollado teniendo el suficiente conocimiento del funcionamiento de estos sistemas.
“El vector de infección del sistema es mediante un CD-ROM ‘booteable’ por lo que se requiere de acceso físico al equipo para poder comprometerlo. Esta es una muestra interesante no debido a su complejidad técnica sino a la poca cantidad de malware disponible enfocado a equipos ATM y sobre todo hacia Latinoamérica, y en este caso en particular, México”, expresó Martinez.
Analistas de Kaspersky Lab prevén este ataque como una tendencia que puede ir en crecimiento debido a que desde 2009 ya se habían detectado muestras de malware que estaban diseñadas específicamente para atacar puntos de venta o más recientemente a cajeros automáticos en Estados Unidos. Se recomienda siempre mantener actualizados los sistemas de punto de venta o cajeros automáticos e instalar una solución antivirus ya que el factor común en la mayoría de los ataques es el sistema operativo.
Kaspersky detecta y neutraliza esta amenaza identificándola como Trojan-Banker.MSIL.Atmer.a.
Para más información, por favor lea el artículo completo en nuestro blog: http://latam.kaspersky.com/ploutus_malware_atm_mexicanos
Acerca de Kaspersky Lab
Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía está clasificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 15 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para las grandes compañías, pequeñas y medianas empresas y consumidores. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios a nivel global. Para obtener mayor información, visite http://latam.kaspersky.com.
*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2011. La clasificación fue publicada en el reporte IDC del "Pronóstico Mundial de Endpoint Security 2012-2016 y Acciones de Proveedores 2011" - (IDC #235930, Julio de 2012). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de Endpoint Security en 2011.
