Autor Tema: “Ploutus”, el virus que roba dinero a cajeros automáticos en México  (Leído 6891 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Jamilton

  • *
  • Mensajes: 45
  • Liked: 8
AQUI EN ESPAÑOL http://latam.kaspersky.com/ploutus_malware_atm_mexicanos


A short while ago, SafenSoft reported a new family of malware, named ‘Ploutus’, that targeted a number of ATMs in Mexico (http://www.safensoft.com/archiv/n/774/1778). The malware was installed when “criminals acquired access to the ATM’s CD-ROM drive and inserted a new boot CD into it.” Many ATMs use a simple lock that is easily picked, which is likely how the attackers gained physical access to the machines. I recently acquired two copies of the Ploutus malware. In this blog post, I’ll go into some of the details of the malware and explain some of the steps I took to reverse engineer it.
I’ll be using these files for the remainder of this blog post:
https://www.virustotal.com/en/file/0106757fac9d10a8e2a22dce5337f404bfa1c44d3cc0c53af3c7539888bc4025/analysis/

https://www.virustotal.com/en/file/34acc4c0b61b5ce0b37c3589f97d1f23e6d84011a241e6f85683ee517ce786f1/analysis/
The Ploutus malware is compiled as a .NET executable. As such, I was able to successfully decompile a large portion of the code. The malware is installed as a service under the name ‘NCRDRVPS’, as you can see below:

Upon execution, the malware will hook the keyboard and attempt to look for certain key combinations. Specifically, if the following key combination is input into the victim device, something amazing happens:

If the attacker types this into a machine with Ploutus loaded, he or she is presented with the following:

It’s always nice when the bad guys give us a GUI. The large buttons and the drop-down menus make it appear as though this malware may have been designed for a touch screen, however, we don't know that for sure. As you can see, the bulk of the GUI is in Spanish, not surprising since the malware targeted ATMs in Mexico. To save some of you a trip to Google Translate, I’ve translated a few of the words for you below.
    Generar ID           : Generate ID
    Activar ATM          : Activate ATM
    Dispensar            : Dispense
    Salir                : Exit
    Billetes             : Bills
    Codigo De Activacion : Activation Code

With the GUI enabled, the malware allows us to execute the following key shortcuts:

    F1 – Generate ID
    F2 – Activate
    F3 – Dispense
    F4 – Disable GUI
    F5 – Key Up
    F6 – Key Down
    F7 – Key Right
    F8 – Key Left

The malware requires an activation code (as seen in the GUI screenshot above). This activation code is generated based on the month and day along with a randomized 4-digit value. We can see the activation check below:

If we follow the simple algorithm that is employed, we can successfully activate Ploutus like so:

Once it's activated, Ploutus has the ability to dispense money from the victim ATM allowing the attacker to specify the denomination and number of bills dispensed.

Overall it’s a pretty interesting sample, if only because ATM malware is somewhat rare. That’s not because it’s necessarily difficult to write. I suspect the reason ATM malware is rare is because it’s difficult to install because an attacker typically requires physical access to the machine to do so (as we saw in this situation where the attackers gained access to the ATM's CD-ROM drives). That being said, it’s still very much a real threat, and should not be taken lightly.

If you are a bank or the owner/operator of ATMs in Mexico, you will want to examine your machines for evidence of tampering. Call Trustwave for incident response services if during your examination you discover anything suspicious. Banks and ATM owner/operators outside of Mexico could also benefit from an inspection of their ATMs. Examples of targeted malware like Ploutus serve as a reminder of the importance of a thorough security review of ATMs and the back-end systems connected to them. Learn more about Trustwave's ATM security offerings here or here.
« Última Modificación: octubre 15, 2013, 02:37:15 pm por Jamilton »

hkm

  • Moderador
  • *
  • Mensajes: 1218
  • Liked: 249
    • Hakim.Ws
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #1 : octubre 15, 2013, 06:30:08 pm »
Que buena pwneada! No es la primera vez que hay virus en cajeros automaticos en México, pero este esta bonito.

Si alguen sabe el nombre del Banco infectado o tiene una muestra que lo role. Me interesa saber que métodos de propagación utiliza y como bypasea el supuesto whitelist de ejecutables.

Saludos!

12_v0lt5

  • ***
  • Mensajes: 408
  • Liked: 40
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #2 : octubre 16, 2013, 09:01:32 am »
segun se ejecuta mediante cd, entonces debes de tener algun tipo de acceso físico y me refiero a que debe de ser dentro del banco, yo me voy por que es mamaex :D


no tendra nada que ver con su caida del sistema :S
La información es poder!

12_v0lt5

  • ***
  • Mensajes: 408
  • Liked: 40
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #3 : octubre 16, 2013, 09:33:28 am »
Recordemos, hasta hace no mucho los cajeros automáticos (al menos en mexico) operaban bajo windows 98.

Según las compañias antivirus, (las que mas han anunciado su descubrimiento son kaspersky y symantec)

Se detecto el dia 4 de septiembre,
es un backdoor,
se desarrollo en .net,
se ejecuta como servicio NCRDRVPS,
usa una clase NCR.APTRA.AXFS para crear la interface,
el binario es PloutusService.exe,
se uso confuser 1.9,
funciona con teclado convencional u otro conectado al cajero (por esto insisto que quienes o quien lo desarrollo tiene acceso al banco).
Interpreta pulsaciones del teclado por lo que, aun que no esta confirmado, puede servir como keylogger.

Hace 4 procesos básicos para ejecutar el ataque

Generar un ID del cajero - basado en dia y mes y el numero se genera de forma aleatoria
Activar el ID - Un contador para entregar el dinero en maximo 24hrs
Retiro - SAca el varo en funcion a la cantidad solicitada, es decir en base a los datos del id entrega el dinero
Reinicio - El servicio se reincia al terminar la transaccion, por lo que queda listo para la proxima operación

Algo interesante es que  si por ejemplo se quiere "vaciar" el cajero es capaz tal vez con un poco de abuso, ya que si el cajero no cuenta con la cantidad solicitada saca todo lo que hay-
Hace uso de los llamados cassettes en el sistema estan registrados 4, por lo que el desarrollador tiene un conocimiento amplio del hardware atacado.

Lo que no se ha publicado es el area donde se realizo el ataque, el banco o bancos afectados, y la cantidad retirada (deben de tener una cantidad exacta, son ATMs)

El backdoor esta en español, y solo esta reportado en MX. Anteriormente se habian reportado ataques a POS en USA, pero al menos yo no recuerdo un malware tan especifico y me atrevo a decir tan efectivo, para cajeros.

Si tienen mas info de este interesante malware compartan!
La información es poder!

hkm

  • Moderador
  • *
  • Mensajes: 1218
  • Liked: 249
    • Hakim.Ws
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #4 : octubre 16, 2013, 11:10:18 am »
Según las compañias antivirus, (las que mas han anunciado su descubrimiento son kaspersky y symantec)

Se detecto el dia 4 de septiembre,
Lo detecto primero SafenSoft el 27 de septiembre. Como ya habian puesto en el primer post. Te pido poner tus fuentes precisas.

funciona con teclado convencional u otro conectado al cajero (por esto insisto que quienes o quien lo desarrollo tiene acceso al banco).
No se a que te refieras con "Teclado Convencional" para mi un teclado convencional es de la computadora. Este malware puede funcionar con los dos.


http://blog.spiderlabs.com/2013/10/en-fiesta-con-ploutus.html
« Última Modificación: octubre 16, 2013, 11:14:55 am por hkm »

hkm

  • Moderador
  • *
  • Mensajes: 1218
  • Liked: 249
    • Hakim.Ws
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #5 : octubre 16, 2013, 11:13:19 am »
De: http://hackermedicine.com/criminals-hit-the-atm-jackpot/

Interacting with Backdoor.Ploutus through the keypadAs noted previously, this type of interaction does not require an additional keyboard to be connected.
The following command codes, entered using the ATM keypad, and their purpose are as follows:
12340000: To test if the keyboard is receiving commands.
12343570: Generate ATM ID, which is stored in the DATAA entry in the config.ini file.
12343571XXXXXXXX: Has two actions:
  • Activate ATM ID by generating an activation code based on an encoded ATM ID and the current date. This value is stored in the DATAC entry in the config.ini file. The eight bytes read in must be a valid encoded ATM ID generated by a function called CrypTrack(). A valid ATM activation code must be obtained in order for the ATM to dispense cash.
  • Generate timespan: Sets a timer to dispense money, the value will be stored in the DATAB entry in the config.ini file.
12343572XX: Commands the ATM to dispense money. The removed digits represent the number of bills to dispense.   


Interacting with Backdoor.Ploutus through a GUIThis method requires the use of an external keyboard.
F8 = If the Trojan window is hidden then this will display it in the main screen of the ATM, enabling criminals to send commands.
After the Trojan window is displayed, the following key commands can be issued by pressing the appropriate key on the keyboard:
F1 = Generate ATM ID
F2 = Activate ATM ID
F3 = Dispense
F4 = Disable Trojan Window
F5 = KeyControlUp
F6 = KeyControlDown
F7 = KeyControlNext
F8 = KeyControlBack
Mexican ATMs 2.png
Figure. Trojan key commands

SHAKA

  • xMHT
  • **
  • Mensajes: 156
  • Liked: 24
  • HTFP!!!
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #6 : octubre 16, 2013, 01:15:33 pm »
Cita
segun se ejecuta mediante cd, entonces debes de tener algun tipo de acceso físico y me refiero a que debe de ser dentro del banco
No necesariamente, solo personas que tengan acceso a ellos internamente osea: si trabajadores de la institucion bancaria que estan cerca ya que tienen un "huevito" o minisucursal que atienden 1-2-3 personas y no hay ejecutivos de servicio, etc, en otros los mismos guardias que van a llenar estos ATM cuando se estan quedando sin dinero, supervisores, gerentes, guardias de la POLIBANCARIA???!!!, etc

Todo esto en cuanto que los ataques fueron hechos a estos ATM solitarios que no estaban cerca de algun banco en concreto.(los revisan mas, menos gente transitando,etc)

Ya muchos saben que dentro de los mismos bancos venden los datos de los clientes asi que no me extrañaria que conozcan puntos ciegos de las camaras e instalaran los bichos por una remuneracion de algunos malandros que uele a carders que se cansaron de poner teclados fisicos falsos, instalar cams y clonar ccs en las gasolineras.... el sistema y los atms se consiguen para la programacion y pruebas pero cuantos atms habran podido pwnear? cuanta lana habran sacado? les da pena decirlo? quemar al banco que no pone avs y solo deja minima proteccion? vamos esto le pasa hasta a los paises de primer nivel.... que ocultan? o sera que de plano no saben? o habia un desinstall_ploutus.exe?

mejor a jugar angry_birds:
Joven hackea cajero automático para jugar Angry Birds
« Última Modificación: octubre 16, 2013, 01:34:14 pm por hkm »
Arayashi-ki

el5patas

  • ***
  • Mensajes: 362
  • Liked: 9
  • El Burro
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #7 : octubre 16, 2013, 01:35:18 pm »
Pues a mi parecer, puede ser alguien que no es de empresa bancaria, si no los que les trabajan como mantenimiento a los bancos, en .mx la que da soporte es Diebold, no se quien más lo haga, son muy mamones para su reclutamiento como "ing/tec" de soporte hardware a cajeros automaticos. Deduzco que son los "soporte" de donde es mas facil meter mano directamente a los cajeros, los weyes que ponen el dinero lo dudo, ya que estas involucrando a mas de 2 personas y no cuentan con el tiempo o los conocimientos para hacerlo, creo yo.
Patitas

Psymera

  • **
  • Mensajes: 74
  • Liked: 28
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #8 : octubre 16, 2013, 06:38:07 pm »
Pues si es con un cd+windows+malware+.net
un simple cd con autorun, no necesitarias mas de unos segundos
asi hasta los de valores podrian en corto, abres metes disco, haces el desmadre del dinero y sacas xD
no se necesita nada de conocimiento pero ke tanto se distribuyo
igual por eso la caida de sistema de mamamex, igual y realmente lo ke pasa es ke si tiene funiones de worm y les dio culo que todo estubiera ya infectado xD
lo ma seguro es ke se dieron cuenta de la infeccion pro ke se les olvido sacar el disco xD
si no me cae que no s hubieran dado cuenta de nada xD
y si ahuevo mamamex con su chafa avilidad tecnologica xD

hkm

  • Moderador
  • *
  • Mensajes: 1218
  • Liked: 249
    • Hakim.Ws
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #9 : octubre 16, 2013, 08:44:48 pm »
un simple cd con autorun, no necesitarias mas de unos segundos

Segun http://hackermedicine.com/criminals-hit-the-atm-jackpot/ es un CD Booteable. Supongo que lo ponen y reinician el cajero,entra a un linux que sustituye algunos files que se corren cuando inicia windows. Seria interesante si fuera un bootkit que rootkitee windows y evada algunas protecciones.

Psymera

  • **
  • Mensajes: 74
  • Liked: 28
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #10 : octubre 16, 2013, 09:50:21 pm »
Entonces definitivamente eso respalda mi teoria que lo encontraron por ke a los idiotas se le solvido sacarlo xD
si no ni en cuenta xD

12_v0lt5

  • ***
  • Mensajes: 408
  • Liked: 40
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #11 : octubre 17, 2013, 09:20:03 am »
en post anterior, puse "según" las compañías antivirus por lo de la fecha 4 de septiembre y lo de teclado convencional si, es un teclado común, lo pongo por que recordemos que el cajero tiene su teclado, por como se plantea es posible que usando el teclado del cajero, se haga una combinacion de teclas o se inserte algún tipo de pass para sacar el  varo.

Si dejaron el cd que weyes pero tambien es posible que se dieran cuenta cuando les faltaba dinero :D

No se como se maneje ahora el servicio de soporte, pero cuando se daba servicio a las pc de los cajeros hace algunos años revisaban que no tuvieras floppys, u algun otro medio digo lo de los diskettes por que fue hace mucho.

La verdad eran re mamones casi te querian encuerar.
La información es poder!

m4xh3dr00m

  • Mensajes: 3
  • Liked: 0
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #12 : octubre 17, 2013, 03:59:02 pm »
Lo de un CD se me hace algo viejo... ¿Los equipos nuevos no tendran algun USB?

Traer un USB en estas fechas se me hace mas practico que un CD Boot, incluso con aplicaciones puedes hacer un USB Multiboot sin tanto problema (yo traigo uno asi)

Seria interesante ver cual es el proceso de carga del sistema mentado... Por ahi hablan tambien de servicios y procesos en Windows, lo cual me genera la idea de un boot system que te carga los apps y modifica llaves de registro, para despues reiniciar el cajero ya con los procesos activos.

Pense que nunca veria algo asi desde la pelicula de Terminator y John Connor con su Atari Card...

flexlm

  • Gundam Exia
  • ***
  • Mensajes: 374
  • Liked: 70
  • Mi IP es: 127.0.0.1
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #13 : octubre 17, 2013, 10:07:37 pm »
No me sorprende que el "RH" (recurso humano) quiera "sabotear", el problema es cuando llegan tan lejos...

Otra cosa importante es quien lo ha distribuido, si es el personal de una compania como Dibold podria afectar a mas de un banco. :-\
« Última Modificación: octubre 17, 2013, 10:13:51 pm por flexlm »
No puedes ser joven para siempre pero te puedes quedar inmaduro indefinidamente.

int_0x40

  • **
  • Mensajes: 163
  • Liked: 25
Re:“Ploutus”, el virus que roba dinero a cajeros automáticos en México
« Respuesta #14 : octubre 19, 2013, 09:57:59 am »
Hay varias cosas que me llaman la atención: la primera es que si hablamos de 'virus' tendría que tener una forma de reproducirse y propagarse. Probablemente lo haga a través de la intranet del banco y de ahí se podría instalar a otros cajeros. El artículo del primer post no clarifica el asunto a más decir que el malware se instala con un cd bootable, lo que supone una propagación física y tan sencillo que es bloquear esta vía desconectando el drive o aplicando ACLs!! xDD

La segunda es lo referente a como se accede al drive: "Many ATMs use a simple lock that is easily picked, which is likely how the attackers gained physical access to the machines" eso quiere decir que el wey que tenga acceso físico primero tiene que hacer uso de habilidades de lock picking básicas para poder montar el cd. Nuevamente tan sencillo que es bloquear esta vía de forma física y lógica!!

La tercera tiene que ver con la forma en que se implementa el servicio oculto: por un lado no sabemos cómo bypassea los mínimos mecanismos de seguridad que negarían la ejecución de un .exe por ejemplo claves del registro, ACLs, políticas de grupo, etc. Por otra está la versión X de .Net y los que programan para .Net saben que el OS debe contar con la versión adecuada para que el .exe funcione (al menos en c#).

Por último según entiendo, una vez instalado el malware se podría acceder a hacer el robo directamente desde el teclado de afuera con la combinación de teclas, es decir como cualquier usuario del cajero, lo que implica saber cúales teclas mapear y que el wey que hace la transa no necesita ningún NIP de ninguna cuenta, el robo es directo y utiliza el OS en contra del mismo ATM que debería resguardar el billete.

Saludos
"I am a blind man...now my room is cold..."