セキュリティベンダーのシマンテックによると、メキシコのATMで見つかった悪質なソフトウェアプログラムが改良され、英語に翻訳されており、他の場所でも使用される可能性があることが示唆されている。
Ploutus と呼ばれるこのマルウェアには 2 つのバージョンが発見されており、どちらもシマンテックが特定していない特定の種類の ATM を空にするように設計されている。
Ploutusは、ほとんどのマルウェアとは異なり、Microsoft Windowsが稼働するATMの内部にCDブートディスクを挿入するという、昔ながらの方法でインストールされます。このインストール方法から、サイバー犯罪者はアクセスしやすい独立型ATMを標的にしていることが示唆されます。
Ploutus の最初のバージョンでは、ATM のキーパッドで数字のシーケンスを入力するとグラフィカル ユーザー インターフェースが表示されるが、このマルウェアはキーボードで制御できると、シマンテックのマルウェア アナリスト、ダニエル レガラド氏は 10 月 11 日に書いている。
シマンテックのブログからのスクリーンショットPloutusは特定のATMモデル向けにプログラムされており、ATMのディスペンサー1台あたり最大4枚の紙幣カセットを収納できると想定しています。そして、紙幣の枚数に基づいて、払い出す金額を計算します。カセットに収納されている紙幣の枚数が最大40枚に満たない場合は、残りの紙幣を払い出し、ATMが空になるまでこの処理を繰り返します。
シマンテック・セキュリティ・レスポンスのディレクター、ケビン・ヘイリー氏は今月初めのインタビューで、攻撃者は特定のATMモデルのソフトウェアとハードウェアについて深い知識を持っていると語った。
「彼らはこの機械がどのように動くか明らかに知っている」と彼は言った。
Ploutusのソースコードには「スペイン語の関数名と不十分な英語の文法が含まれており、このマルウェアはスペイン語を話す開発者によってコード化された可能性がある」とレガラド氏は書いている。
レガラド氏は新しいブログ投稿で、攻撃者がPloutusをより堅牢なものにし、英語に翻訳したと述べ、同じATMソフトウェアがメキシコ以外の国でも悪用される可能性があることを示唆した。
Ploutusの「B」型にはいくつかの違いがあります。キーパッドからのコマンドのみを受け付けますが、現金を引き出す際に、機械内の残高と取引ログを示すウィンドウが表示されます。攻撃者は特定の枚数の紙幣を投入できないため、Ploutusは最も多くの紙幣が入ったカセットから現金を引き出すと、Regalado氏は記しています。
シマンテックは、ATMを所有するユーザーに対し、BIOSのブート順序を変更し、CD、DVD、USBメモリではなくハードディスクからのみ起動するように推奨しています。また、BIOSをパスワードで保護し、ブートオプションを変更できないようにする必要があると、レガラド氏は記しています。
リード画像はFlickr / megawatts86より
