¿QUÉ ES EL JACKPOTTING Y CÓMO FUNCIONA?

Publicado por: Carlos Suarez 31 enero, 2018

El sitio de seguridad Krebs on Security emitió una alerta durante el fin de semana acerca de una nueva modalidad de ataque a cajeros automáticos, la cual ha sido detectado por el Servicio Secreto de los EE.UU. y que en teoría permitiría extraer todo el dinero de las máquinas a una velocidad de más de 100 billetes por minuto.

Los principales afectados son los cajeros de los fabricantes Diebold Nixdorf Inc. y NCR Corp., dos de los más grandes del mundo, ninguna de las empresas confirmó el monto que se perdió en estos ataques.

El malware que están usando actualmente los delincuentes informáticos es una variente de un viejo software llamado Ploutus. Diseñado para el jackpotting en ATMs (técnica utilizada para robar grandes cantidades de dinero en metálico de un cajero sin tener que usar ninguna clase de tarjeta de crédito o débito), Ploutus ha sido ampliamente usado en los últimos años, dirigiéndose a cajeros NCR, especialmente en México en 2013.

Una nueva variante de Ploutus, denominada Ploutus-D, fue descubierta recientemente por los investigadores de la firma de seguridad FireEye. Aunque su modus operandi es idéntico al de sus predecesores, pero la novedad radica en que esta variante utiliza componentes de Kalignite, un software para ATMs del multifabricante KAL que se ejecuta en más de 40 fabricantes diferentes de ATMs. Al incorporar esta pieza de software «oficial», el malware puede conseguir el completo control de los dispositivos hardware del cajero tales como el dispensador, el lector de tarjetas o el teclado.

Los ciberdelincuentes podrían haber obtenido acceso al software de KAL robando cajeros físicos de los bancos o incluso mediante su compra a resellers autorizados.

  • Los ciberdelincuentes consiguen el acceso físico al núcleo de la CPU del ATM rompiendo la fascia o mediante el uso de llaves.
  • Una vez han ganado acceso físico, consiguen acceso a los puertos USB o a la unidad de CD-ROM para infectar el ATM con el malware. Al mismo tiempo, conectan un teclado estándar para poder operar.
  • Ploutus-D contiene un ejecutable (AgilisConfigurationUtility.exe) y un Launcher (Diebold.exe). El ejecutable puede lanzarse como aplicación independiente o como servicio instalado por el Launcher, siendo controlado desde el teclado.
  • Ploutus-D se ejecuta en segundo plano esperando una combinación de teclas para su activación y toma de control del ATM. Más tarde, despliega un GUI personalizado que solicita un código de autorización para garantizar el control de la mula.
  • Si se otorga la autorización, PLOUTUS-D muestra detalles de la cantidad de dinero disponible en cada cajetín, y usa componentes XFS de Kalignite para interactuar con el dispensador de ATM, permitiendo así al ciberdelincuente lanzar múltiples comandos de dispensación de dinero hasta dejar el cajero sin efectivo (cash-out).
  • Los códigos de activación y dispensación se pueden enviar a PLOUTUS-D desde el teclado estándar conectado por el ciberdelincuente o desde el propio pinpad del ATM.
  • Por último, una vez se ha completado la acción de ‘cash-out’, PLOUTUS-D da la oportunidad de llevar a cabo un mecanismo de limpieza por el cual se elimina cualquier rastro del ataque.

 

Sobre el Autor

Carlos Suarez
Periodista egresado del ISET N° 18 "20 de Junio" de Rosario, S.F. en 1990. Participó del Primer Congreso Internacional de la Comunicación y el Periodismo en 1998. Colaboró con el programa LA OREJA de Radio Rivadavia conducido por Quique Pesoa en 1992. A partir del 1 de octubre de 2018 condujo VIVA LA MAÑANA por Radio Viva 104.9 de Federación, E.R. En este 2019/2020 administra y redacta en esta página Federación al Día. A partir del 29 de junio de 2020 volvió a FM Stereo 99.3 con el clásico "Demasiado temprano para mentiras", desde las 7 de la mañana. En marzo de 2021 comenzó el nuevo ciclo "La Mañana de Uno" por la 106.1, de lunes a viernes y de 9 a 12 de la mañana.

Sé el primero en comentar en «¿QUÉ ES EL JACKPOTTING Y CÓMO FUNCIONA?»

Dejar un comentario