Ploutus preleva denaro da un ATM con un SMS

Mentre le banche di tutto il mondo sono alle prese con gli upgrade degli ATM, i cybercriminali hanno già sviluppato soluzioni che permettono di eludere le protezioni di Windows XP per rubare il contante riservato ai prelievi degli utenti. Uno dei malware più noti, scoperto in Messico alla fine del 2013, è Ploutus. Una nuova variante in lingua inglese, basata su un’architettura modulare, consente di ingannare l’ATM e quindi erogare il denaro con un semplice SMS.

Per rubare al contante, conservato in una cassaforte, non è più necessario scassinare l’ATM. È sufficiente aprire la macchina per accedere al computer installato al suo interno. Si tratta di un normale PC con Windows XP, dotato di lettore CD e porte USB, che i cybercriminali usano per installare il malware Ploutus. Uno smartphone viene collegato ad una porta USB, dalla quale riceve anche l’alimentazione. Si crea così una connessione Internet condivisa (tethering) tra il dispositivo mobile e il computer.

Quando viene inviato uno specifico SMS, lo smartphone effettua la sua conversione in un pacchetto di rete TCP o UDP e lo inoltra all’ATM attraverso il cavo USB. Il modulo NPM (Network Packet Monitor) del malware rileva il pacchetto e, se trova un valido activation ID, esegue Ploutus. Un secondo SMS contiene invece il comando per attivare l’erogazione del contante. La somma di denaro è pre-impostata nel malware. Un complice ritirerà quindi i soldi al momento giusto.

La stessa tecnica può essere utilizzata per rubare i dati delle carte e i PIN dei clienti della banca. I moderni ATM possiedono funzionalità di sicurezza, come hard disk criptati, che possono prevenire l’esecuzione del malware. Gli ATM con Windows XP dovrebbero essere aggiornati a Windows 7 o Windows 8. Oltre alla crittografia, si potrebbe anche impostare il BIOS per bloccare il boot da CD e USB.