FBI alerta para o aumento de ataques de "jackpotting" em caixas eletrônicos com malware

O FBI divulgou um alerta IC3 FLASH em 19 de fevereiro de 2026, alertando sobre um aumento nos incidentes de "jackpotting" de caixas eletrônicos habilitados por malware nos EUA. O FBI diz que o objetivo do alerta é distribuir detalhes técnicos e indicadores de comprometimento (IOCs) para que bancos, operadores de caixas eletrônicos e provedores de serviços possam fortalecer as máquinas e identificar os comprometimentos mais cedo.

A escala não é trivial. O FBI afirma que, dos 1.900 incidentes de jackpotting relatados desde 2020, mais de 700, com mais de US$ 20 milhões em perdas, ocorreram somente em 2025.

O que é "jackpotting de caixa eletrônico" neste aviso

No jackpotting, os criminosos não precisam roubar dados de cartões ou drenar contas de clientes. Em vez disso, eles visam o próprio caixa eletrônico, usando malware para forçar a máquina a distribuir dinheiro sem uma transação legítima. O FBI enquadra esses eventos como operações rápidas de "saque" que só podem ser percebidas depois que o dinheiro já foi embora.

Ploutus e o papel do XFS

O aviso do site https://www.ic3.gov/CSA/2026/260219.pdf aponta para malware de jackpotting, incluindo a família Ploutus. O FBI diz que o Ploutus tem como alvo o eXtensions for Financial Services (XFS)... a camada de software que informa ao hardware do caixa eletrônico quais ações devem ser executadas. Em um fluxo normal, o aplicativo do caixa eletrônico envia comandos por meio do XFS como parte de uma transação que exige autorização do banco. Se um invasor puder emitir seus próprios comandos para o XFS, o FBI diz que ele pode ignorar totalmente a autorização e instruir o caixa eletrônico a distribuir dinheiro sob demanda.

Caminhos comuns de infecção: o acesso físico vem em primeiro lugar

O artigo do FBI enfatiza que muitos ataques começam com o acesso físico, geralmente abrindo a face de um caixa eletrônico usando chaves genéricas amplamente disponíveis. A partir daí, o FBI lista os métodos comuns de implantação, incluindo a remoção do disco rígido, a cópia do malware para ele usando outro computador, a reinstalação e a reinicialização do caixa eletrônico, ou a troca do disco por um disco "estranho" ou dispositivo externo pré-carregado com malware antes da reinicialização.

Por que os caixas eletrônicos com Windows estão no escopo

O FBI afirma que o malware pode ser usado em diferentes fabricantes de caixas eletrônicos com relativamente poucos ajustes, pois o comprometimento explora o sistema operacional Windows nos caixas eletrônicos afetados. O malware é descrito como interagindo diretamente com o hardware do caixa eletrônico e distribuindo dinheiro sem exigir acesso a uma conta bancária do cliente.

IOCs, o FBI diz que os defensores devem procurar

O comunicado lista uma série de indicadores digitais observados nos caixas eletrônicos afetados do que executam o Windowsincluindo executáveis suspeitos, como Newage.exe, Color.exe, Levantaito.exe, NCRApp.exe, sdelete.exe, Promo.exe, WinMonitor.exe, WinMonitorCheck.exe, Anydesk1.exe, além de arquivos/scripts associados, como C.dat e Restaurar.bat, e diretórios recém-criados. Ele também inclui vários hashes MD5 vinculados aos artefatos observados.

Além dos artefatos de arquivo, o FBI sinaliza o possível abuso de ferramentas de acesso remoto (por exemplo, TeamViewer/AnyDesk não autorizado) e procura persistência incomum por meio de execuções automáticas anormais e serviços personalizados em locais de registro/serviço do Windows.

Indicadores físicos/logs que podem revelar a preparação

Como o jackpotting geralmente envolve adulteração no local, o FBI também chama a atenção para "indicadores de interação física", incluindo eventos de inserção de USB e detecção de dispositivos conectados, como teclados USB, hubs USB e unidades flash. Os sinais de alerta operacionais incluem alertas de abertura de portas de caixas eletrônicos fora das janelas de manutenção, estados inesperados de pouco ou nenhum dinheiro, dispositivos conectados não autorizados e remoção do disco rígido.

Orientação de mitigação: "imagens de ouro", auditoria de mídia removível e controles físicos em camadas

Uma das seções mais acionáveis é a ênfase do FBI na linha de base e na integridade: ele recomenda validar arquivos/hashes de ATMs em relação a uma "imagem de ouro" controlada e tratar os desvios, especialmente os binários não assinados ou recém-introduzidos, como um possível comprometimento.

O FBI também recomenda uma política de auditoria direcionada em relação ao uso de armazenamento removível, acesso controlado a arquivos e criação de processos para detectar atividades de preparação que possam evitar o monitoramento da rede.

No aspecto físico, o conselho do FBI é direto: dificultar o acesso à máquina e facilitar a detecção de violações. Isso inclui atualizar as fechaduras para que as chaves genéricas não funcionem, adicionar alarmes aos painéis de serviço, usar sensores para detectar movimentos ou calor incomuns, limitar o acesso ao caixa eletrônico e garantir que as câmeras cubram adequadamente o caixa eletrônico, com imagens retidas por tempo suficiente para serem úteis.

Ele também menciona etapas de fortalecimento, como lista branca de dispositivos para bloquear conexões de hardware não autorizadas, verificações de integridade de firmware (incluindo verificações de integridade baseadas em TPM na inicialização) e criptografia de disco para reduzir a chance de introdução de malware por meio da remoção e modificação de uma unidade fora da máquina.

O que o FBI pede que as organizações informem

Para relatar incidentes, o FBI incentiva as as organizações a entrarem em contato com o escritório de campo local do FBI ou a enviarem o relatório por meio do IC3, e solicita detalhes práticos, como identificadores de banco/filial, marca/modelo do caixa eletrônico, informações do fornecedor e registro disponível.