Criminales Ganan la Lotería Mediante Cajeros Automáticos

Contribuidor: Val S

Mexican ATMs 1.jpg

Es del conocimiento público que los delincuentes en todo el mundo y en México siempre están buscando nuevas formas de obtener dinero ilícito. Una de las formas más comunes de ganar dinero “fácil” es a través de los cajeros automáticos y, entre las formas más comunes en que estas maquinas son usadas de forma maliciosa se encuentran las siguientes:

  1. Robando el cajero: Los criminales se llevan el cajero a un lugar en donde puedan abrir el cajero para tener acceso al dinero en su interior. En este escenario, la pérdida del dinero es solo una de las consecuencias ya que al tener el equipo en su poder, tienen acceso al software que administra el cajero mismo que podría ser descifrado para preparar un ataque dirigido a todos los cajeros utilizando el mismo sistema.
  2. Skimming: Los criminales colocan dispositivos de lectura falsos en el lector de la tarjeta o en el teclado para capturar información sensible del tarjetahabiente como el PIN.
  3. Los criminales secuestran a la víctima para obtener su NIP de la tarjeta y aprovechan para retirar todos los fondos desde el cajero. Sin embargo hay que considerar que  existe un límite de retiro de dinero por día.

Mientras  que los escenarios descritos anteriormente dependen de factores externos para llevarse a cabo de forma satisfactoria,  los criminales desearían una forma más  fácil de obtener  el dinero del cajero como podría ser presionar una combinación de teclas (algo similar a lo demostrado en Black Hat 2010 por Barnaby Jack (Q.E.P.D)). En este sentido, desafortunadamente para los bancos, parece que los sueños de los criminales se han hecho realidad pues según investigaciones realizadas de forma paralela con otras firmas de seguridad, Symantec identifico a finales de agosto de este año una amenaza conocida como Backdoor.Ploutus que podría interactuar con el software de los cajeros automáticos. La detección de esta amenaza fue agregada desde el 4 de septiembre pasado con el fin de proteger los sistemas usados en los cajeros.

Metodología de Infección

De acuerdo con fuentes externas consultadas por Symantec, los delincuentes inyectarían el malware al cajero de forma física insertando un disco de arranque en la unidad de CD-ROM, para que transfiera el malware al sistema del cajero.

Impacto

Al hacer esto, los criminales crean una interfaz para interactuar con el software del cajero comprometido y por ello serían capaces de retirar todo el dinero disponible de los recipientes que guardan el efectivo, también conocidos como casettes.

Algo que también es interesante de esta táctica es que al transferir el malware, los criminales también podrían leer toda la información tecleada por los dueños de las tarjetas a través del teclado del cajero automático, lo que les permitiría robar la información sensible sin utilizar ningún dispositivo externo como el descrito anteriormente al inicio del texto.

Aunque no se ha confirmado que otros países hayan sido afectados por esta amenaza, los bancos de otros países que usan el mismo software en sus cajeros podrían estar en riesgo.

Características Técnicas de Backdoor.Ploutus

  1. Se ejecuta como un servicio de Windows llamado NCRDRVPS
  2. Los criminales crearon una interfaz para interactuar con el cajero a través de una clase llamada NCR.APTRA.AXFS
  3. Su nombre binario es PloutusService.exe
  4. Fue desarrollado con. NET y ofuscado con el software Confuser 1.9
  5. Crea una ventana oculta que puede ser habilitada por los delincuentes para interactuar con el cajero automático
  6. Interpreta combinaciones de teclas específicas, introducidas por los delincuentes, como comandos que se pueden recibir ya sea desde un teclado externo (que debe conectarse al cajero) o directamente desde el teclado del cajero

¿Qué hace Backdoor. Ploutus?

  1. Genera un ID del Cajero – Aleatoriamente genera un número que es asignado al cajero infectado, basado en el día y mes al momento de la infección.
  2.  Activa el ID del Cajero – Establece un contador de tiempo para retirar el dinero. El malware entregará el dinero sólo dentro de las primeras 24 horas de haber sido activado.
  3. Retira Efectivo: Entrega el dinero basado en la cantidad solicitada por los delincuentes
  4. Reinicia (el servicio): Reinicia el contador de tiempo para entregar el dinero.

La ejecución de los comandos mencionados anteriormente debe realizarse en orden, ya que se debe utilizar un ID de cajero válido y activo para entregar el dinero en efectivo.

El código fuente contiene los nombres de las funciones en español con muchas faltas de ortografía al emplear palabras en inglés, lo que sugiere que el malware pudiera haber sido codificado por desarrolladores que hablan español.

Interactuando con Backdoor. Ploutus a través del teclado del cajero

Como lo comentamos previamente, este tipo de interacción no requiere de ninguna instalación adicional.

A continuación describimos algunas de las combinaciones que se pueden introducir usando el teclado del cajero automático y su propósito:

  1. 12340000: Para probar si el teclado está recibiendo los comandos.
  2. 12343570: Generar el ID del cajero automático, que se almacena en el valor DATAA del archivo config.ini.
  3. 12343571XXXXXXXX: Tiene dos acciones:
    a) Activar el ID del cajero mediante la generación de un código de activación basado en el ID del cajero y la fecha actual. Este valor se almacena en la entrada DATAC del archivo config.ini. Los ocho bytes leídos (marcados en rojo) deben ser un ID de cajero codificado de una forma especifica (por una función llamada CrypTrack). Una activación válida del código de cajero debe obtenerse para que el cajero automático entregue dinero.
  1. Generar rango de tiempo: Establece el contador de tiempo para entregar el dinero, este valor se almacena en la entrada DATAB en el archivo config.ini.
  1. 12343572XX: Ordena al cajero que entregue dinero. Los 2 dígitos en rojo representan el número de billetes a retirar.

Interactuando con Backdoor. Ploutus a través e Interfaz grafica

Este método requiere de un teclado externo para funcionar.

F8 = Si la interfaz esta oculta entonces la muestra en la pantalla del cajero. Esta interfaz permitirá a los delincuentes controlar el cajero.

Una vez que dicha interfaz ha sido habilitada, será posible ingresar los siguientes comandos:

F1 = Generar  ID del cajero automático
F2 = Activar ID del cajero automático
F3 = Entregar dinero
F4 = Desactivar la ventana del Troyano
F5 = KeyControlArriba
F6 = KeyControlAbajo
F7 = KeyControlSiguiente

F8 = KeyControlAtrás

Mexican ATMs 2.png

Proceso de Retiro de Efectivo

En este caso está claro que los criminales han aplicado ingeniería inversa al software del cajero para tomar control del mismo, y, aunque no seamos expertos en el funcionamiento de estas maquinas, basándonos en el código fuente revisado, podemos inferir que Backdoor. Ploutus funciona de la siguiente manera:

1. Identificará el dispositivo dispensador en el cajero automático.
2. A continuación, obtiene el número de cassettes por dispensador y los carga. En este caso, el malware supone que hay un máximo de cuatro cassettes por dispensador ya que conoce el  modelo y diseño del cajero comprometido. Los casetes contienen los billetes disponibles en el cajero.
3. Calcula la cantidad de dinero a entregar basado en el número de billetes solicitado por los criminales, multiplicado por la denominación actual de cada uno.
4. Después inicia la operación de retiro de efectivo. Si el cassette implicado en este proceso tiene menos de 40 unidades (billetes) disponibles, no se retirará la cantidad solicitada y se entregará todo el dinero disponible en ese cassette.
5. Por último, se repetirá el paso cuatro para todos los cassettes restantes hasta que todo el dinero sea retirado del cajero.

Lo que este descubrimiento pone sobre la mesa es el creciente nivel de cooperación entre los criminales del mundo físico tradicional con hackers y delincuentes cibernéticos. Con el uso cada vez mayor de la tecnología en todos los aspectos de la vida y las nuevas medidas de protección, los delincuentes tradicionales se están dando cuenta de que, para llevar a cabo robos con éxito,  ahora requieren otro conjunto de habilidades que no necesitaban en el pasado. Los ladrones modernos de bancos ahora necesitan tener en su equipo a profesionales en tecnología calificados para ayudarles a robar.

Este tipo de situaciones  no sólo pasa en las películas, está sucediendo en la vida real y éste es un ejemplo de cómo los ciberataques se están volviendo más específicos, recordemos que según datos del Informe sobre Amenazas a la Seguridad en Internet de Symantec, en 2012 los ataques dirigidos crecieron 42% y el sector financiero es el segundo sector más atacado por este tipo de cuestiones con 19% del total.

Así que, aunque en este caso los usuarios de cajeros automáticos no están siendo afectados por esta situación directamente, sino que son las instituciones financieras las que están siendo objeto de este ataque, Symantec recomienda lo siguiente:

  • Configurar el BIOS boot order para que solamente formatee o reinicie desde el disco duro (y no desde CD/DVD, USBs, etc)
  • Asegure el BIOS con una contraseña para que los atacantes no puedan reconfigurar o modificar de reinicio.
  • Asegúrese que las firmas de su AV o solución de seguridad estén actualizadas.

Symantec Security Response continuará monitoreando el comportamiento y evolución de de Backdoor.Ploutus para mantener a sus clientes del sector financiero protegidos.

Leave a Reply