Mỹ: Dùng mã độc rút tiền từ ATM

2 giờ trướcBài gốc

Hàng triệu USD bị mất vì Ploutus

PCMAG trích dẫn nguồn tin Bộ Tư pháp (DoJ) cho biết, Bộ này vừa phát đi công bố chi tiết chiến dịch trấn áp nhóm tin tặc có tên Tren de Aragua (TDE) có nguồn gốc từ Venezuela, bị cáo buộc đánh cắp tiền trong hàng loạt máy ATM trên khắp nước Mỹ bằng phần mềm độc hại Ploutus.

Một nhóm ít nhất 20 tên tội phạm người nước ngoài đã bị truy tố lấy cắp hơn 5,4 triệu USD trong hệ thống ATM trên toàn nước Mỹ

DoJ đã cung cấp chi tiết về các vụ trộm ATM như một phần của chiến dịch trấn áp TDA. Đây là băng nhóm tội phạm đa quốc gia, có nguồn gốc từ Venezuela. Băng nhóm này đã sử dụng Ploutus, một phần mềm độc hại đã tồn tại hơn một thập kỷ để chiếm quyền điều khiển ATM và rút hết tiền, một quá trình được gọi là “ATM jackpotting”.

Theo các nhà điều tra liên bang, TDA đã cài đặt Ploutus thông qua kết nối USB hoặc bằng cách sửa đổi ổ cứng của máy ATM. Các nghi phạm đã di chuyển theo nhóm và khảo sát các máy ATM tại các ngân hàng và liên minh tín dụng. Sau khi trinh sát, TDA mở nắp hoặc cửa máy ATM rồi chờ gần đó để xem liệu có kích hoạt báo động hay sự can thiệp của cơ quan thực thi pháp luật hay không. Sau đó, mới tiến hành cài đặt phần mềm độc hại vào máy ATM bằng cách tháo ổ cứng và cài đặt phần mềm độc hại trực tiếp, thay thế ổ cứng bằng ổ cứng đã được cài đặt sẵn phần mềm độc hại Ploutus, hoặc kết nối thiết bị ngoại vi như USB để triển khai phần mềm độc hại.

Phần mềm độc hại được cấu hình để xóa mọi bằng chứng về việc can thiệp sau khi tiền đã được rút ra. Tuy nhiên, các nhà điều tra liên bang đã thu được đoạn phim giám sát của ít nhất một số vụ trộm, cho thấy nghi phạm nhắm mục tiêu vào các máy ATM có hệ thống rút tiền tự động. Tình hình càng trở nên phức tạp khi phần lớn máy ATM tại Mỹ vẫn sử dụng hệ điều hành Windows 10, phiên bản đã không còn được Microsoft hỗ trợ vá lỗi bảo mật, tạo điều kiện thuận lợi cho các cuộc tấn công.

Mỹ đã treo thưởng 5 triệu USD cho thông tin giúp bắt giữ các thủ lĩnh của nhóm này. Người mẫu Venezuela Jimena Romina Araya Navarro, người được cho là đang điều hành TDA. Đầu tháng 12 mới đây, DoJ cũng đã trừng phạt Araya Navarro vì bị cáo buộc chỉ huy tổ chức này. Cũng trong 2025, quận Nebraska đã truy tố 67 thành viên và lãnh đạo của TDA với nhiều tội danh khác nhau.

Phản ứng của DoJ

Trang tin trực tuyến Thehackernews số ra ngày 20/12 cho biết DoJ đã công bố cáo trạng đối với 54 cá nhân liên quan đến vụ án lừa đảo ATM bằng phần mềm độc hại Ploutus. Các đối tượng bị truy tố được cho là thành viên của TDA, một băng đảng Venezuela bị Bộ Ngoại giao Mỹ xếp vào danh sách tổ chức khủng bố nước ngoài.

Theo công bố, DoJ đã buộc tội một nhóm gồm 22 người về tội gian lận ngân hàng, trộm cắp và rửa tiền. TDA còn lợi dụng các kế hoạch đánh bạc trúng thưởng để rút hàng triệu đô la ở Mỹ và chuyển số tiền bất chính đó cho các thành viên và cộng sự. Thêm 32 cá nhân khác đã bị buộc tội trong bản cáo trạng thứ hai liên quan, được ban hành vào ngày 21/10/2025, bị cáo buộc "âm mưu thực hiện gian lận ngân hàng, một tội âm mưu thực hiện trộm cắp ngân hàng và gian lận máy tính, 18 tội gian lận ngân hàng, 18 tội trộm cắp ngân hàng và 18 tội gây thiệt hại cho máy tính". Nếu bị kết tội, các bị cáo có thể phải đối mặt với mức án tối đa từ 20 đến 335 năm tù.

Để âm mưu thành công, TDA đã tuyển mộ nhân viên để triển khai phần mềm độc hại trên toàn quốc. Những người này tiến hành trinh sát ban đầu để đánh giá các biện pháp an ninh bên ngoài được lắp đặt tại các máy ATM trước khi mở nắp máy ATM để kiểm tra xem chúng có kích hoạt bất kỳ báo động nào hoặc phản ứng của cơ quan an ninh không.

Sau bước này, các đối tượng mới tiến hành cài đặt Ploutus bằng cách thay thế ổ cứng bằng ổ cứng đã được cài đặt sẵn chương trình độc hại hoặc bằng cách kết nối một ổ USB di động. Phần mềm độc hại này được trang bị để thực hiện các lệnh trái phép liên quan đến mô-đun trước khi rút tiền.

Phần mềm độc hại Ploutus cũng được thiết kế để xóa bằng chứng về phần mềm độc hại nhằm che giấu, tạo ấn tượng sai lệch, đánh lừa hoặc lừa dối nhân viên của các ngân hàng và tổ chức tín dụng khỏi việc phát hiện ra việc triển khai phần mềm độc hại trên máy ATM. Theo DoJ, tổng cộng 1.529 vụ tấn công rút tiền bất hợp pháp đã được ghi nhận tại Mỹ kể từ năm 2021, với khoảng 40,73 triệu USD mất vào tay mạng lưới tội phạm quốc tế tính đến tháng 8/2025.

Đôi nét về phần mềm Ploutus

Ploutus được phát hiện lần đầu tiên tại Mexico vào năm 2013. Trong một báo cáo năm 2014, Symantec đã mô tả chi tiết cách thức các máy ATM chạy hệ điều hành Windows XP bị nhiễm phần mềm độc hại này có thể bị khai thác để cho phép tội phạm mạng rút tiền mặt chỉ bằng cách gửi lệnh SMS. Một phân tích tiếp theo từ FireEye (nay là một phần của Google Mandiant) vào năm 2017 đã mô tả chi tiết khả năng kiểm soát các máy ATM Diebold và hoạt động trên nhiều phiên bản Windows khác nhau.

Khắc Nam

Nguồn ANTG : https://antg.cand.com.vn/khoa-hoc-ky-thuat-hinh-su/my-dung-ma-doc-rut-tien-tu-atm-i794700/