导语:近期,火眼的安全专家发现臭名昭著Ploutus ATM​恶意软件衍生出了一种新型的变种,已经在拉美国家发起了入侵攻势。

atm-windows-xp.png

近期,火眼的安全专家发现臭名昭著Ploutus ATM恶意软件衍生出了一种新型的变种,已经在拉美国家发起了入侵攻势。

Ploutus是一款非常复杂的ATM恶意软件,2013年首次在墨西哥被发现。攻击者可通过连接到机器外部的键盘或者向机器发送一条SMS消息,然后从ATM机中窃取现金。

Ploutus出现新变种

最近,火眼实验室的安全专家发现了一种新型的Ploutus恶意软件,被命名为Ploutus-D。据专家们的调查发现Ploutus-D攻击目标主要是Diebold牌的ATM机,但是由于新型恶意软件在代码上有了一点小小的改变,所以Ploutus-D可以攻击的目标不止Diebold一个品牌,全球大约有80个国家的ATM机均可能收到攻击的影响。

Ploutus-D提升的性能如下:

使用KaligniteATM平台
允许ATM机运行Windows 10、Windows 8、Windows 7、Windows XP操作系统
配置了可以控制Diebold牌ATM机的设备
GUI界面上有了一些改变
配置了一个Launcher,可以识别并阻碍安全检测进程
使用了一个名为Reactor的.NET混淆器

Ploutus和Ploutus-D的共同点如下:

最终目的都是在没有银行卡的情况下掏空ATM机中的现金
攻击者必须使用ATM机配置的外置键盘才能利用恶意软件
攻击者产生的激活码有效期只有24小时
都是.NET格式
都可以运行windows服务和单机应用

新型的恶意软件会将自己添加进“Userinit”注册密钥中,从而可以永久的隐藏起来,该密钥位于:HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit

攻击者必须通过ATM机外置的键盘和Launcher发生交互作用之后才能发起攻击,如下图:

1484550922210288.png

一旦Launcher安装在了ATM机上,它便会立马执行键盘挂接,以读取攻击者的指令。

Launcher会在系统上释放合法的文件,比如KAL ATM、Ploutus-D。这一行为非常重要,因为它能确保所有的软件和需要运行的恶意软件都在同一个文件夹中,以避免从属问题的发生。

Ploutus-D能在数秒之内窃取走数千美元的现金,这种情况是多么的可怕。另外,据安全专家推测,网络犯罪者们一定得先从授权厂商处购买一台合法的ATM机之后才能展开攻击。

源链接

Hacking more

...