کارشناسان امنیتی فایرآی نسخه جدیدی از بدافزار خودپرداز با نام Ploutus را کشف کردهاند که آمریکای لاتین را هدف قرار دادهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار Ploutus یکی از بدافزارهای پیچیده خودپرداز است که نخستینبار در سال ۲۰۱۳ در بانک مکزیک شناسایی شد. این بدافزار به مهاجمان اجازه میدهد با اتصال صفحه کلید خارجی به ماشین خودپرداز و یا ارسال پیامک به ماشین، پول نقد موجود در آن را به سرقت ببرند.
محققان آزمایشگاه امنیت فایرآی، بهتازگی نسخهجدیدی از این بدافزار را با نام Ploutus-D کشف کردهاند که بر روی بستر سامانههای خودپرداز KAL’s Kalignite عمل میکند. محققان این بدافزار را در حمله علیه دستگاههای خودپرداز شرکت Diebold مشاهده کردند ولی مسئله نگرانکننده این است که با کوچکترین تغییر در کد منبع این بدافزار میتوان دستگاههای خودپرداز متنوع در ۸۰ کشور مختلف را هدف قرار داد.
برخی بهبودهایی که در نسخه Ploutus-D داده شدهاست، عبارتاند از:
• از بستر سامانه خودپرداز Kalignite استفاده میکند.
• این بدافزار میتواند بر روی دستگاههایی با سامانهعامل ویندوز ۱۰، ۸، ۷ و ایکسپی اجرا شود.
• بدافزار طوری پیکربندی شده تا خودپردازهای تولید شرکت Diebold را کنترل کند.
• از واسط گرافیکی کاربر متفاوتی استفاده میکند.
• این بدافزار دارای یک اجراکننده است که برای جلوگیری از تشخیص، پردازههای نظارتی و امنیتی را شناسایی کرده و به آنها خاتمه میدهد.
• از یک مبهمساز قوی .NET با نام Reactor استفاده میکند.
مشابهتهای نسخه جدید بدافزار با نسخههای قبلی عبارتاند از:
• هدف اصلی بدافزار خالیکردن پولهای خودپرداز بدوننیاز به کارت اعتباری است.
• مهاجم باید با بدافزار از طریق یک صفحه کلید خارجی که به خودپرداز وصل شدهاست، تعامل داشتهباشد.
• یک کد فعالسازی توسط مهاجم تولید میشود که پس از ۲۴ ساعت منقضی خواهدشد.
• هر دو بدافزار در بستر .NET ایجاد شدهاند.
• بدافزار میتواند تحتعنوان سرویس ویندوز یا برنامه کاربردی دیگر اجرا شود.
تحلیلهای فنی نشان داد که بدافزار مبهمسازی خود را بهبود داده و به جای مبهمساز .NET از Reactor استفاده میکند. بدافزار برای ماندگار شدن بر روی سامانه قربانی، خود را بهعنوان کلید رجیستری Userinit ثبت میکند. این کلید در \HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit قرار گرفته است. مهاجم برای تعامل با راهانداز بدافزار باید از صفحه کلید خارجی استفاده کند که از طریق USB و یا درگاه PS/۲ به خودپرداز وصل میشود.
در توضیحات فنی این بدافزار آمدهاست: «زمانیکه راهانداز بر روی خودپرداز نصب شد، صفحه کلید قلاب خواهدشد تا بدافزار از طریق این صفحه کلید خارجی، دستورات مهاجمان را دریافت کند. ترکیبی از کلیدهای F برای درخواست اجرای بدافزار مورد استفاده قرارمیگیرد.»
راهانداز پروندههای قانونی همچون KAL ATM و بدافزار Ploutus-D را به خودپرداز اضافهمیکند. این کار برای این انجام میشود تا تمامی پروندههای موردنیاز برای اجرای بدافزار در داخل یک پوشه قرار داشتهباشند و در ادامه، مسئله وابستگی پیش نیاید.
بدافزار Ploutus-D به مهاجمان اجازه میدهد در عرض یکدقیقه، هزاران دلار را به سرقت ببرند و دیگر خطرات ناشی از سرقت و دستگیر شدن در اثر CCTV وجود نخواهدداشت. برای نصب این بدافزار به احتمال زیاد مهاجمان به نرمافزار ماشین خودپرداز دسترسی داشتهاند. کارشناسان حدس میزنند مهاجمان دستگاههای خودپرداز فیزیکی را از فروشندگان مجاز خریداری میکنند که بر روی آن بهطور پیشفرض نرمافزارهای خودپرداز وجود دارد. در بدترین سناریو نیز مهاجمان میتوانند مستقیماً دایرکتوریهای خودپرداز را از بانک به سرقت ببرند.