En Fiesta Con Ploutus

We've translated our original blog post discussing Ploutus malware into Spanish because it was found to be targeting ATMs in Mexico.

Hace poco, SafenSoft informó al público de una nueva familia de programas maliciosos, conocidos como "Ploutus", que fueron dirigidos a cajeros automáticos (ATM) en México (http://www.safensoft.com/archiv/n/774/1778). El programa malicioso fue instalado cuando "criminales obtuvieron acceso al CD-ROM de los cajeros automáticos, y insertaron un nuevo CD de inicio." Muchos cajeros automáticos utilizan una cerradura sencilla, por cual es muy probable el método que los atacantes utilizaron para obtener acceso físico. Hace poco, recibí dos copias de Ploutus. En esta entrada del blog, voy a presentar algunos detalles sobre el programa malicioso y explicar algunos pasos que tomé para nalizarlo.

Voy a usar estos archivos para este análisis:

https://www.virustotal.com/en/file/0106757fac9d10a8e2a22dce5337f404bfa1c44d3cc0c53af3c7539888bc4025/analysis/

https://www.virustotal.com/en/file/34acc4c0b61b5ce0b37c3589f97d1f23e6d84011a241e6f85683ee517ce786f1/analysis/

Ploutus esta compilado como un ejecutable .NET. Como tal, yo pude descompilar con éxito una gran parte del código. El programa malicioso se instala como un servicio bajo el nombre 'NCRDRVPS', como se puede ver a continuación:

Screen Shot 2013-10-09 at 5.47.22 PM

Tras la ejecución, el programa malicioso enganchará el teclado y trata de buscar ciertas combinaciones de teclas. Específicamente, si la siguiente combinación de teclas se introducen en el sistema de la víctima, ocurre algo interesante:

Screen Shot 2013-10-10 at 8.52.34 AM

Si el atacante tecla la combinación en un sistema infectado con Ploutus, él o ella esta presentado con lo siguiente:

Screen Shot 2013-10-10 at 7.46.41 AM

Siempre es bueno cuando los atacantes nos presentan con una interfaz gráfica. Los botones grandes y las listas desplegables hacen que parezca como que este programa malicioso fue diseñado para una pantalla táctil, sin embrago, no estamos muy seguros. Como pueden ver, mayor parte de la interfaz gráfica está en español, no es sorprendente ya que el programa malicioso fue dirigido a cajeros automáticos en México.

Con la interfaz gráfica habilitada, el programa malicioso nos permite ejecutar los siguientes atajos de teclado:

F1 – Generar ID
F2 – Activar ATM
F3 – Dispensar
F4 – Inhabilitar interfaz gráfica
F5 – Tecla hacia arriba
F6 – Tecla hacia abajo
F7 – Tecla hacia la derecha
F8 – Tecla hacia la izquierda

El programa malicioso requiere un código de activación (como pueden ver en la captura de pantalla). Este código de activación esta generado basado en el día, mes, y un numero de cuatro dígitos seleccionado al azar. Podemos observar el método de la activación aquí:

1

Si nos atenemos al algoritmo que se emplea, podemos activar Ploutus correctamente:

Screen Shot 2013-10-10 at 9.42.57 AM

Una vez que se active, Ploutus tiene la capacidad de dispensar dinero del cajero automático, permitiendo que el atacante especifique la denominación y el número de billetes dispensados.

En general, el programa malicioso es muy interesante, simplemente porque programas maliciosos en cajeros automáticos es algo raro. Eso no es porque es necesariamente difícil de programar. Sospecho que la razón por cual programas maliciosos en cajeros automáticos es muy raro es porque es difícil de instalar, ya que un atacante normalmente requiere acceso físico a la máquina para hacerlo (como hemos visto en esta situación en la que los atacantes tuvieron acceso a las unidades de CD-ROM del ATM). Dicho esto, sigue siendo una gran amenaza real, y debe ser tomada en serio.

Si usted es un banco o el dueño/operador de cajeros automáticos en México, debería examinar sus máquinas para comprobar que no fueron manipuladas. Llame a Trustwave por sus servicios de respuesta a incidentes, si durante su examen descubre algo sospechoso. Los bancos y dueños/operadoers de cajeros automáticos fuera de México también podrían beneficiarsede una inspección de sus ATMs. Ejemplos de programasmaliciosos como Ploutus sirven como un recordatorio de la importancia de unarevisión de seguridad completa de los cajeros automáticos y los sistemasconectados a ellos. Aprenda más sobre los servicios de seguridad para cajerosautomáticos ofrecidos por Trustwave aquí o aquí.

Trustwave reserves the right to review all comments in the discussion below. Please note that for security and other reasons, we may not approve comments containing links.