回归最本质的信息安全

Ploutus-D:新型ATM恶意软件几秒之内能取出数千美元

2017年1月16日发布

4,738
2
0

导语:近期,火眼的安全专家发现臭名昭著Ploutus ATM​恶意软件衍生出了一种新型的变种,已经在拉美国家发起了入侵攻势。

atm-windows-xp.png

近期,火眼的安全专家发现臭名昭著Ploutus ATM恶意软件衍生出了一种新型的变种,已经在拉美国家发起了入侵攻势。

Ploutus是一款非常复杂的ATM恶意软件,2013年首次在墨西哥被发现。攻击者可通过连接到机器外部的键盘或者向机器发送一条SMS消息,然后从ATM机中窃取现金。

Ploutus出现新变种

最近,火眼实验室的安全专家发现了一种新型的Ploutus恶意软件,被命名为Ploutus-D。据专家们的调查发现Ploutus-D攻击目标主要是Diebold牌的ATM机,但是由于新型恶意软件在代码上有了一点小小的改变,所以Ploutus-D可以攻击的目标不止Diebold一个品牌,全球大约有80个国家的ATM机均可能收到攻击的影响。

Ploutus-D提升的性能如下:

使用KaligniteATM平台
允许ATM机运行Windows 10、Windows 8、Windows 7、Windows XP操作系统
配置了可以控制Diebold牌ATM机的设备
GUI界面上有了一些改变
配置了一个Launcher,可以识别并阻碍安全检测进程
使用了一个名为Reactor的.NET混淆器

Ploutus和Ploutus-D的共同点如下:

最终目的都是在没有银行卡的情况下掏空ATM机中的现金
攻击者必须使用ATM机配置的外置键盘才能利用恶意软件
攻击者产生的激活码有效期只有24小时
都是.NET格式
都可以运行windows服务和单机应用

新型的恶意软件会将自己添加进“Userinit”注册密钥中,从而可以永久的隐藏起来,该密钥位于:HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit

攻击者必须通过ATM机外置的键盘和Launcher发生交互作用之后才能发起攻击,如下图:

1484550922210288.png

一旦Launcher安装在了ATM机上,它便会立马执行键盘挂接,以读取攻击者的指令。

Launcher会在系统上释放合法的文件,比如KAL ATM、Ploutus-D。这一行为非常重要,因为它能确保所有的软件和需要运行的恶意软件都在同一个文件夹中,以避免从属问题的发生。

Ploutus-D能在数秒之内窃取走数千美元的现金,这种情况是多么的可怕。另外,据安全专家推测,网络犯罪者们一定得先从授权厂商处购买一台合法的ATM机之后才能展开攻击。

本文翻译于securityaffairs,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/3047.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

張奕源Nick

張奕源Nick

嘶吼编辑

发私信

发表评论

    天海 春香
    天海 春香 2017-01-16 18:41

    正在用同款键盘

    沙拉拉卡
    沙拉拉卡 2017-01-16 16:08

    不明所以