پنجشنبه ۹ فروردين ۱۴۰۳ , 28 Mar 2024
جالب است ۰
کارشناسان امنیتی فایرآی نسخه‌ جدیدی از بدافزار خودپرداز با نام Ploutus را کشف کرده‌اند که آمریکای لاتین را هدف قرار داده‌است.
منبع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات

کارشناسان امنیتی فایرآی نسخه‌ جدیدی از بدافزار خودپرداز با نام Ploutus را کشف کرده‌اند که آمریکای لاتین را هدف قرار داده‌است. 

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار Ploutus یکی از بدافزارهای پیچیده‌ خودپرداز است که نخستین‌بار در سال ۲۰۱۳ در بانک مکزیک شناسایی شد. این بدافزار به مهاجمان اجازه می‌دهد با اتصال صفحه ‌کلید خارجی به ماشین خودپرداز و یا ارسال پیامک به ماشین، پول نقد موجود در آن را به سرقت ببرند.

محققان آزمایشگاه امنیت فایرآی، به‌تازگی نسخه‌جدیدی از این بدافزار را با نام Ploutus-D  کشف کرده‌اند که بر روی بستر سامانه‌های خودپرداز KAL’s Kalignite عمل می‌کند. محققان این بدافزار را در حمله علیه دستگاه‌های خودپرداز شرکت Diebold مشاهده کردند ولی مسئله‌ نگران‌کننده این است که با کوچک‌ترین تغییر در کد منبع این بدافزار می‌توان دستگاه‌های خودپرداز متنوع در ۸۰ کشور مختلف را هدف قرار داد.

برخی بهبودهایی که در نسخه‌ Ploutus-D داده شده‌است، عبارت‌اند از: 
• از بستر سامانه‌ خودپرداز Kalignite استفاده می‌کند.
• این بدافزار می‌تواند بر روی دستگاه‌هایی با سامانه‌عامل ویندوز ۱۰، ۸، ۷ و ایکس‌پی اجرا شود.
• بدافزار طوری پیکربندی شده تا خودپردازهای تولید شرکت Diebold را کنترل کند.
• از واسط گرافیکی کاربر متفاوتی استفاده می‌کند.
• این بدافزار دارای یک اجراکننده است که برای جلوگیری از تشخیص، پردازه‌های نظارتی و امنیتی را شناسایی کرده و به آنها خاتمه می‌دهد.
• از یک مبهم‌ساز قوی .NET با نام Reactor استفاده می‌کند.

مشابهت‌های نسخه‌ جدید بدافزار با نسخه‌های قبلی عبارت‌اند از:
• هدف اصلی بدافزار خالی‌کردن پول‌های خودپرداز بدون‌نیاز به کارت اعتباری است.
• مهاجم باید با بدافزار از طریق یک صفحه‌ کلید خارجی که به خودپرداز وصل شده‌است، تعامل داشته‌باشد.
• یک کد فعال‌سازی توسط مهاجم تولید می‌شود که پس از ۲۴ ساعت منقضی خواهدشد.
• هر دو بدافزار در بستر .NET ایجاد شده‌اند.
• بدافزار می‌تواند تحت‌عنوان سرویس ویندوز یا برنامه‌ کاربردی دیگر اجرا شود.

تحلیل‌های فنی نشان داد که بدافزار مبهم‌سازی خود را بهبود داده و به جای مبهم‌ساز .NET از Reactor استفاده می‌کند. بدافزار برای ماندگار شدن بر روی سامانه‌ قربانی، خود را به‌عنوان کلید رجیستری Userinit ثبت می‌کند. این کلید در \HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit قرار گرفته است. مهاجم برای تعامل با راه‌انداز بدافزار باید از صفحه ‌کلید خارجی استفاده کند که از طریق USB و یا درگاه PS/۲ به خودپرداز وصل می‌شود.

در توضیحات فنی این بدافزار آمده‌است: «زمانی‌که راه‌انداز بر روی خودپرداز نصب شد، صفحه‌ کلید قلاب خواهد‌شد تا بدافزار از طریق این صفحه‌ کلید خارجی، دستورات مهاجمان را دریافت کند. ترکیبی از کلیدهای F برای درخواست اجرای بدافزار مورد استفاده قرار‌می‌گیرد.»

راه‌انداز پرونده‌های قانونی همچون KAL ATM و بدافزار Ploutus-D را به خودپرداز اضافه‌می‌کند. این کار برای این انجام می‌شود تا تمامی پرونده‌های مورد‌نیاز برای اجرای بدافزار در داخل یک پوشه قرار داشته‌باشند و در ادامه، مسئله‌ وابستگی پیش نیاید.

بدافزار Ploutus-D به مهاجمان اجازه می‌دهد در عرض یک‌دقیقه، هزاران دلار را به سرقت ببرند و دیگر خطرات ناشی از سرقت و دستگیر شدن در اثر CCTV وجود نخواهد‌داشت. برای نصب این بدافزار به احتمال زیاد مهاجمان به نرم‌افزار ماشین خودپرداز دسترسی داشته‌اند. کارشناسان حدس می‌زنند مهاجمان دستگاه‌های خودپرداز فیزیکی را از فروشندگان مجاز خریداری می‌کنند که بر روی آن به‌طور پیش‌فرض نرم‌افزارهای خودپرداز وجود دارد. در بدترین سناریو نیز مهاجمان می‌توانند مستقیماً دایرکتوری‌های خودپرداز را از بانک به سرقت ببرند.

کد مطلب : 12248
https://aftana.ir/vdcg7x9q.ak9xt4prra.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی