Alerta de Malware en ATM

Durante investigaciones recientes se detectó una campaña de malware para ATM (cajeros) mediante una variante de la familia Ploutus. Esta familia de malware plantea un ataque de tipo “jackpoting”, cuyo objetivo es vaciar los casetes de los cajeros electrónicos sin intervención del usuario o acceso a tarjetas de débito-crédito válidas.

A continuación se detallan las características del ataque detectado, El análisis de ingeniería inversa realizado por el equipo de la división de investigación de Devel Security para la muestra del malware Ploutus.D, como los IOC (indicadores de compromiso) detectados.

¿Equipos Afectados?

El malware tiene como objetivo cajeros de la marca DIEBOLD y NCR que ejecuten middleware AGILIS, APTRA y KALIGNITE.

¿Cómo funciona el ataque?

Para lograr ejecutar exitosamente el ataque se requiere acceso físico al equipo para instalar el software malicioso. Según observaciones mediante CD-ROM, USB o acceso directo al disco duro del cajero se instala el malware en la ruta D:\Diebold\exe\P.

 En esta carpeta se localizan 3 ejecutables:

Dos de ellos funcionan como lanzadores y la ejecución de la segunda fase depende de la detección que estos hagan. Por un lado, el ejecutable diebold.exe hace las revisiones de la plataforma AGILIS; en caso de encontrarse operando AGILIS se iniciará la fase relevante del ataque que reside en el ejecutable NewAge.exe.

El ejecutable GPO.exe hace las mismas validaciones, pero opera para la plataforma APTRA, KALIGNITE y posteriormente también ejecuta NewAge.exe

El ejecutable NewAge.exe se encuentra ofuscado y cuenta con protecciones anti depuración; por ello su análisis debió realizarse dinámicamente en un entorno controlado.

Durante el análisis al código fuente que fue recuperado se observa que para que el ataque sea operativo, se debe ingresar un código de autorización, cuya caducidad es de 24 horas:

Este código está asociado a un ID numérico y aleatorio, que identifica al cajero:

El ataque se desencadena con una serie de comandos de teclado, también se detecta la funcionalidad de acceso remoto mediante sockets:

Comandos de inicialización del malware

Comandos de inicialización del malware

Durante el análisis se identifica al posible autor de esta variante del malware:

Indicadores de compromiso (IOC’s):

¿Cómo reaccionar ante la amenaza?

  • Actualizar las firmas de los IOC’s identificados dentro de las soluciones de seguridad.
  • Mantener los discos de los cajeros cifrados para evitar que sean manipulados fuera de línea.
  • Actualizar a la brevedad posible las firmas de antivirus y generar una lista blanca de aplicaciones para bloquear los hashes de los archivos maliciosos. (Application Whitelisting)
  • Verificar que el acceso físico esté limitado y el uso de periféricos no esté habilitado (USB/CDROM).
  • Atender y monitorear todas las alertas por desconexión de cajeros o apertura de fascias (SOC 24x7x365).

Referencias adicionales:

  1. https://www.symantec.com/connect/blogs/criminals-hit-atm-jackpot
  2. https://www.fireeye.com/blog/threat-research/2017/01/new_ploutus_variant.html
  3. https://krebsonsecurity.com/2018/01/first-jackpotting-attacks-hit-u-s-atms/