In Mexico zijn verschillende geldautomaten met speciale malware geïnfecteerd, die ervoor zorgt dat de automaten op commando geld uitgeven. De malware wordt Ploutus genoemd en is ontwikkeld om de geldautomaat op softwareniveau over te nemen.
Om de aanval uit te voeren moeten criminelen eerst toegang tot de automaat hebben. Vervolgens wordt de geldautomaat vanaf een boot-cd opgestart. Deze boot-cd bevat de malware die tijdens het opstarten het besturingssysteem van de geldautomaat infecteert. Daarnaast schakelt de malware ook de eventueel aanwezige virusscanner uit.
Na de installatie is het mogelijk om Ploutus via een speciale toetsencombinatie te activeren en kan er op commando geld worden uitgegeven. De enige mogelijkheid om de installatie van de malware te voorkomen is het uitschakelen van externe opslagapparaten, wat niet altijd mogelijk is, of het gebruik van speciale beveiligingssoftware die aanpassingen aan het besturingssysteem van de geldautomaat voorkomt.
De Ploutus-malware werd als eerste door het Russische beveiligingsbedrijf SafenSoft gerapporteerd. "De verschijning van nieuwe malware die in staat is om geld uit geldautomaten te stelen is zeer alarmerend", aldus CTO Stanislav Shevchenko. Hij waarschuwt dat als de malware op grote schaal gaat worden verspreid het een groot probleem voor banken kan worden.
Onderzoekers van Trustwave Spiderlabs analyseerden de malware en stellen dat het om een interessant exemplaar gaat. Alleen al vanwege het feit dat geldautomatenmalware vrij bijzonder is. "Niet omdat het lastig te schrijven is", zegt onderzoeker Josh Grunzweig. Hij stelt dat geldautomatenmalware vooral bijzonder is doordat het lastig is te installeren.
Een aanvaller heeft meestal fysieke toegang tot het apparaat nodig. Net zoals in dit geval, waarbij de cd-rom van het systeem wordt gebruikt. "Toch is dit een echte dreiging die niet licht moet worden opgevat", besluit Grunzweig. Volgens Symantec zou de malware al zeker sinds 31 augustus van dit jaar in omloop zijn en is die met .NET technologie ontwikkeld. Hoeveel schade de malware heeft veroorzaakt is onbekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.