A especialista de segurança S21sec continua seguir de perto o malware Ploutus, que surgiu agora numa nova versão. O Ploutus, que surgiu já em 2013 no México, é um dos malwares mais avançados contra caixas ATM.
Na sua nova versão, a Ploutus-D, o malware recorre os componentes do software para ATM da KAL – Kalignite, utilizado por mais de 40 diferentes fornecedores dos sistemas das caixas de multibanco. Os componentes do Kalignite permitem que o Plotus-D abuse da camada XFS para obter o controlo total e ilegítimo dos dispositivos de hardware ATM como o dispensador, leitor de cartão e pinpad.
Tal como em casos semelhantes, o Ploutus-D requer o acesso físico às portas USB da máquina ATM, após o que é possível injectar o executável (AgilisConfigurationUtility.exe) e o Launcher (Diebold.exe), podendo o primeiro ser executado como uma aplicação autónoma ou como um serviço instalado, esperando por uma combinação de teclas para ativar e assumir o controlo do ATM a partir do teclado. De seguida, exibe uma GUI personalizada pedindo um código de autorização, para garantir o controlo da mula. Se a autorização for concedida, o PLOUTUS-D mostra os detalhes da quantidade de dinheiro disponível e utiliza os componentes XFS da Kalignite para interagir com o distribuidor ATM, permitindo que sejam emitidos vários comandos de dispensa para esvaziar o dinheiro. Finalmente, após a conclusão do “cash-out”, o PLOUTUS-D fornece um mecanismo de limpeza para remover quaisquer vestígios do ataque.
Apesar de necessitar do acesso físico, o Ploutus-D revela-se eficaz e avançado, ao permitir um cash-out silencioso da máquina. Os ataques por esta via mostram assaltantes cada vez mais discretos e refinados, face aos métodos mais violentos de arrombamento que são mais passíveis de causar alarme e frustrar um ataque.
Entretanto, a S21sec continua a focar a sua acção nas necessidades do sistema bancário, onde é uma referência em segurança.
