Cómo funciona este malware.
Los ciberdelincuentes consiguen el acceso físico al núcleo de la CPU del ATM rompiendo la fascia o mediante el uso de llaves.
Una vez han ganado acceso físico, consiguen acceso a los puertos USB o a la unidad de CD-ROM para infectar el ATM con el malware. Al mismo tiempo, conectan un teclado estándar para poder operar.
Ploutus-D contiene un ejecutable (AgilisConfigurationUtility.exe) y un Launcher (Diebold.exe). El ejecutable puede lanzarse como aplicación independiente o como servicio instalado por el Launcher, siendo controlado desde el teclado.
Ploutus-D se ejecuta en segundo plano esperando una combinación de teclas para su activación y toma de control del ATM. Más tarde, despliega un GUI personalizado que solicita un código de autorización para garantizar el control de la mula.
Si se otorga la autorización, PLOUTUS-D muestra detalles de la cantidad de dinero disponible en cada cajetín, y usa componentes XFS de Kalignite para interactuar con el dispensador de ATM, permitiendo así al ciberdelincuente lanzar múltiples comandos de dispensación de dinero hasta dejar el cajero sin efectivo (cash-out).
Los códigos de activación y dispensación se pueden enviar a PLOUTUS-D desde el teclado estándar conectado por el ciberdelincuente o desde el propio pinpad del ATM.
Por último, una vez se ha completado la acción de ‘cash-out’, PLOUTUS-D da la oportunidad de llevar a cabo un mecanismo de limpieza por el cual se elimina cualquier rastro del ataque.
Fuente y nota completa:
[Enlace externo eliminado para invitados]
"La computadora nació para resolver problemas que antes no existían" (Bill Gates)
