A advertência do FBI não é uma história de ficção científica: no ano passado, os ataques conhecidos como "jackpotting" — em que os criminosos obrigam os caixas automáticos a cubarem dinheiro por malware — tiveram um aumento preocupante. Segundo o alerta técnico publicado pelo FBI, os bancos e operadores de caixas receberam relatos de mais de 700 incidentes apenas em 2025, que se somam a um total de cerca de 1.900 casos relatados desde 2020, e as perdas calculadas ultrapassaram os 20 milhões de dólares. Não falamos de fraudes remotas complexas contra contas na nuvem, mas de ataques que, em muitos casos, exigem entrar fisicamente na máquina e que se executam em questão de minutos.
Para entender por que esses roubos são tão eficazes é útil olhar para o coração do caixa: a camada de software que ordena ao hardware físico o que fazer. Muitos caixas utilizam o padrão conhecido como eXtensions for Financial Services, ou XFS. Quando um usuário realiza uma retirada legítima, a aplicação do caixa envia instruções através de XFS para pedir autorização ao banco antes de liberar notas. Malware como Ploutus e variantes mais recentes focam precisamente nessa camada: se um atacante consegue emitir comandos diretamente para XFS, A verificação bancária pode ser completamente sorteada e ordenada ao caixa que dispense dinheiro sob demanda, sem cartão ou conta associada.
O procedimento não é sofisticado em termos de engenharia: geralmente combina acesso físico e preparação prévia. Os relatórios forenses indicam que os criminosos conseguem abrir o invólucro com chaves genéricas amplamente disponíveis, extraem o disco rígido do caixa ou usam portos para carregar software a partir de meios removíveis, e substituem ou sobreporem a imagem do sistema por outro que contém o malware. Em outras ocasiões, a máquina é preparada antecipadamente e o atacante só precisa introduzir um novo disco ou dispositivo no local e executar o código. O resultado é um caixa que aparenta funcionar normalmente até que, de repente, começa a dispensar notas sem qualquer operação válida registada.
Estes ataques costumam passar despercebidos para as entidades até que o dinheiro já desapareceu. A combinação de intrusão física e manipulação da imagem do sistema faz com que muitas soluções de monitoramento de rede não detectem a atividade maliciosa, porque o caixa pode continuar se comunicando com os sistemas centrais ou aparentar um comportamento normal enquanto o ataque é executado a nível local.
Diante desse cenário, a própria recomendação do FBI aponta medidas simples, mas eficazes: auditar os caixas em busca de uso não autorizado de armazenamento removível e processos desconhecidos, e aplicar validação da integridade da imagem "gold" do sistema para detectar manipulações precoces. A combinação de controles físicos (bloqueio e guarda de chaves, selos tamper-evident, câmaras) e controles lógicos (desactivar arranque a partir de USB, encriptação de disco, verificação da imagem, lista branca de processos) reduz significativamente a janela de oportunidade dos atacantes. Para aqueles que querem aprofundar o funcionamento de Ploutus e sua evolução, há análises técnicas que explicam seu modus operandi, como os publicados por especialistas em segurança ESET.
O aumento dos incidentes tem acompanhado de atividade policial e judicial. Nos Estados Unidos, as pesquisas puseram o foco em redes organizadas; o Departamento de Justiça liderou acusações contra muitas pessoas ligadas a esquemas em grande escala que teriam utilizado este tipo de malware para esvaziar caixas. Embora a perseguição legal seja complexa e as penas variam segundo a jurisdição e os cargos, esses processos mostram que os grupos responsáveis podem ser organizações transnacionais com capacidade para coordenar a logística criminosa e a engenharia do software malicioso. Para acessar comunicados e ações oficiais, a web do Departamento de Justiça É a referência institucional.
O que podem fazer as instituições financeiras e os operadores de caixas agora mesmo? Além das auditorias e validação de imagens, há medidas concretas que diminuem a exposição: proteger fisicamente as unidades, controlar estritamente quem tem acesso às chaves e aos componentes internos, realizar inventários de hardware e software, implementar detecção de dispositivos USB não autorizados e, muito importante, manter procedimentos de resposta rápida quando se detecta uma intrusão. A colaboração entre a indústria e as agências de segurança também é essencial: compartilhar indicadores de comprometimento e táticas observadas ajuda a prevenir imitações e variantes do malware.
Para usuários habituais de caixas, o risco direto é limitado (os ataques apontam para o caixa em si, não para contas específicas), mas convém manter uma atitude vigilante: se um caixa mostrar sinais de manipulação física, funciona de forma errática ou não oferece recibo, é preferível usar outro terminal e avisar o banco. Na era em que o software define cada vez mais o comportamento do hardware, segurança física e segurança cibernética devem andar juntas Para evitar que um caixa se torne uma caixa registradora sem controle.
Este tipo de ataques nos lembra que a segurança tecnológica não é apenas uma questão de sistemas e firewalls: é uma disciplina que mistura controles humanos, processos e tecnologia. A evidência e as recomendações atuais do FBI sublinham que intervir em cada uma dessas camadas — desde a gestão de chaves até a integridade da imagem do sistema — é a única maneira de estreitar o cerco sobre aqueles que convertem um caixa automático em uma máquina isenta de dinheiro ilegal. Para mais contexto e acompanhamento jornalístico sobre esses fatos e sua evolução, meios especializados como BleepingComputer Eles fornecem cobertura constante e atualizada.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...