آخرین اخبار
صفحه اصلی
اخبار

بدافزار Ploutus-D: تهدیدی جدید برای دستگاه‌های خودپرداز

تاریخ:
در: اخبار
دیدگاهتان را بنویسید:
779 نمایش ها

بدافزارکمیته رکن چهارم – کارشناسان امنیتی فایرآی نسخه‌ی جدیدی از بدافزار خودپرداز با نام Ploutus را کشف کرده‌اند که آمریکای لاتین را هدف قرار داده است. بدافزار Ploutus یکی از بدافزارهای پیچیده‌ی خودپرداز است که اولین بار در سال ۲۰۱۳ در بانک مکزیک شناسایی شد. این بدافزار به مهاجمان اجازه می‌دهد با اتصال صفحه‌کلید خارجی به ماشین خودپرداز و یا ارسال پیامک به ماشین، پول نقد موجود در آن را به سرقت ببرند.

به گزارش کمیته رکن چهارم،محققان آزمایشگاه امنیت فایرآی، به تازگی نسخه‌ی جدیدی از این بدافزار با نام Ploutus-D را کشف کرده‌اند که بر روی بستر سامانه‌های خودپرداز KAL’s Kalignite عمل می‌کند. محققان این بدافزار را در حمله علیه دستگاه‌های خودپرداز شرکت Diebold مشاهده کردند ولی مسئله‌ی نگران‌کننده این است که با کوچک‌ترین تغییر در کد منبع این بدافزار می‌توان دستگاه‌های خودپرداز متنوع در ۸۰ کشور مختلف را هدف قرار داد.

در ادامه بهبودهایی که در نسخه‌ی Ploutus-D داده شده را مشاهده می‌کنید:

•  از بستر سامانه‌ی خودپرداز Kalignite استفاده می‌کند.

•  این بدافزار می‌تواند بر روی دستگاه‌هایی که سامانه عامل آن‌ها ویندوز ۱۰، ۸، ۷ و ایکس‌پی است اجرا شود.

•  بدافزار طوری پیکربندی شده تا خودپردازهای تولید شرکت Diebold را کنترل کند.

•  از واسط گرافیکی کاربر متفاوتی استفاده می‌کند.

•  این بدافزار دارای یک اجراکننده است که برای جلوگیری از تشخیص، پردازه‌های نظارتی و امنیتی را شناسایی کرده و به آن‌ها خاتمه می‌دهد.

•  از یک مبهم‌ساز قوی .NET با نام Reactor استفاده می‌کند.

مشابهت‌های نسخه‌ی جدید بدافزار با نسخه‌های قبلی عبارتند از:

•  هدف اصلی بدافزار خالی کردن پول‌های خودپرداز بدون نیاز به کارت اعتباری است.

•  مهاجم باید با بدافزار از طریق یک صفحه‌کلید خارجی که به خودپرداز وصل شده، تعامل داشته باشد.

•  یک کد فعال‌سازی توسط مهاجم تولید می‌شود که پس از ۲۴ ساعت منقضی خواهد شد.

•  هر دو بدافزار در بستر .NET ایجاد شده‌اند.

•  بدافزار می‌تواند تحت عنوان سرویس ویندوز یا برنامه‌ی کاربردی دیگر اجرا شود.

تحلیل‌های فنی نشان داد که بدافزار مبهم‌سازی خود را بهبود داده و بجای مبهم‌ساز .NET از Reactor استفاده می‌کند. بدافزار برای ماندگار شدن بر روی سامانه‌ی قربانی، خود را به عنوان کلید رجیستری Userinit ثبت می‌کند. این کلید در \HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit قرار گرفته است. مهاجم برای تعامل با راه‌انداز بدافزار، باید از یک صفحه‌کلید خارجی که از طریق USB و یا درگاه PS/۲ به خودپرداز وصل می‌شود، استفاده کند.

در توضیحات فنی این بدافزار آمده است: «زمانی‌که راه‌انداز بر روی خودپرداز نصب شد، صفحه‌کلید قلاب خواهد شد تا بدافزار از طریق این صفحه‌کلید خارجی، دستورات مهاجمان را دریافت کند. ترکیبی از کلیدهای F برای درخواست اجرای بدافزار مورد استفاده قرار می‌گیرد.»

راه‌انداز پرونده‌های قانونی همچون KAL ATM و بدافزار Ploutus-D را به خودپرداز اضافه می‌کند. این کار برای این انجام می‌شود تا تمامی پرونده‌های مورد نیاز برای اجرای بدافزار در داخل یک پوشه قرار داشته باشند و در ادامه، مسئله‌ی وابستگی پیش نیاید.

بدافزار Ploutus-D به مهاجمان اجازه می‌دهد در عرض یک دقیقه هزاران دلار را به سرقت ببرند و دیگر خطرات ناشی از سرقت و دستگیر شدن در اثر CCTV وجود نخواهد داشت.

برای نصب این بدافزار، به احتمال زیاد مهاجمان به نرم‌افزار ماشین خودپرداز دسترسی داشته‌اند. کارشناسان حدس می‌زنند مهاجمان دستگاه‌های خودپرداز فیزیکی را از فروشندگان مجاز خریداری می‌کنند که بر روی آن به‌طور پیش‌فرض نرم‌افزارهای خودپرداز وجود دارد. در بدترین سناریو نیز مهاجمان می‌توانند مستقیماً دایرکتوری‌های خودپرداز را از بانک به سرقت ببرند.

منبع:securityaffairs

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.