بدافزار جدید ؛ تهدیدی برای دستگاههای خودپرداز

#امنیت ؛ در این مقاله به بررسی بدافزار جدید Ploutus-D که تهدیدی برای دستگاههای خودپرداز می باشد می پردازیم و روش های جلوگیری از آن را بررسی می کنیم . با ما همراه باشید : 

 

 

کارشناسان امنیتی فایرآی نسخه‌ی جدیدی از بدافزار خودپرداز با نام Ploutus را کشف کرده‌اند که آمریکای لاتین را هدف قرار داده است. بدافزار Ploutus یکی از بدافزارهای پیچیده‌ی خودپرداز است که اولین بار در سال ۲۰۱۳ در بانک مکزیک شناسایی شد. این بدافزار به مهاجمان اجازه می‌دهد با اتصال صفحه‌کلید خارجی به ماشین خودپرداز و یا ارسال پیامک به ماشین، پول نقد موجود در آن را به سرقت ببرند. ( بدافزار جدید )

 

محققان آزمایشگاه امنیت فایرآی، به تازگی نسخه‌ی جدیدی از این بدافزار با نام Ploutus-D را کشف کرده‌اند که بر روی بستر سامانه‌های خودپرداز KAL’s Kalignite عمل می‌کند. محققان این بدافزار را در حمله علیه دستگاه‌های خودپرداز شرکت Diebold مشاهده کردند ولی مسئله‌ی نگران‌کننده این است که با کوچک‌ترین تغییر در کد منبع این بدافزار می‌توان دستگاه‌های خودپرداز متنوع در ۸۰ کشور مختلف را هدف قرار داد. ( بدافزار جدید )

 

در ادامه بهبودهایی که در نسخه‌ی Ploutus-D داده شده را مشاهده می‌کنید:

 

• از بستر سامانه‌ی خودپرداز Kalignite استفاده می‌کند.
• این بدافزار می‌تواند بر روی دستگاه‌هایی که سامانه عامل آن‌ها ویندوز ۱۰، ۸، ۷ و ایکس‌پی است اجرا شود.
• بدافزار طوری پیکربندی شده تا خودپردازهای تولید شرکت Diebold را کنترل کند.
• از واسط گرافیکی کاربر متفاوتی استفاده می‌کند.
• این بدافزار دارای یک اجراکننده است که برای جلوگیری از تشخیص، پردازه‌های نظارتی و امنیتی را شناسایی کرده و به آن‌ها خاتمه می‌دهد.
• از یک مبهم‌ساز قوی .NET با نام Reactor استفاده می‌کند.

 

مشابهت‌های نسخه‌ی جدید بدافزار با نسخه‌های قبلی عبارتند از:

 

• هدف اصلی بدافزار خالی کردن پول‌های خودپرداز بدون نیاز به کارت اعتباری است.
• مهاجم باید با بدافزار از طریق یک صفحه‌کلید خارجی که به خودپرداز وصل شده، تعامل داشته باشد.
• یک کد فعال‌سازی توسط مهاجم تولید می‌شود که پس از ۲۴ ساعت منقضی خواهد شد.
• هر دو بدافزار در بستر .NET ایجاد شده‌اند.
• بدافزار می‌تواند تحت عنوان سرویس ویندوز یا برنامه‌ی کاربردی دیگر اجرا شود.

 

تحلیل‌های فنی نشان داد که بدافزار مبهم‌سازی خود را بهبود داده و بجای مبهم‌ساز .NET از Reactor استفاده می‌کند. بدافزار برای ماندگار شدن بر روی سامانه‌ی قربانی، خود را به عنوان کلید رجیستری Userinit ثبت می‌کند. این کلید در \HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit قرار گرفته است. مهاجم برای تعامل با راه‌انداز بدافزار، باید از یک صفحه‌کلید خارجی که از طریق USB و یا درگاه PS/۲ به خودپرداز وصل می‌شود، استفاده کند.

 

در توضیحات فنی این بدافزار آمده است: «زمانی‌که راه‌انداز بر روی خودپرداز نصب شد، صفحه‌کلید قلاب خواهد شد تا بدافزار از طریق این صفحه‌کلید خارجی، دستورات مهاجمان را دریافت کند. ترکیبی از کلیدهای F برای درخواست اجرای بدافزار مورد استفاده قرار می‌گیرد.» ( بدافزار جدید )

 

بدافزار جدید بدافزار جدید بدافزار جدید ؛ تهدیدی برای دستگاههای خودپرداز 94 1

راه‌انداز پرونده‌های قانونی همچون KAL ATM و بدافزار Ploutus-D را به خودپرداز اضافه می‌کند. این کار برای این انجام می‌شود تا تمامی پرونده‌های مورد نیاز برای اجرای بدافزار در داخل یک پوشه قرار داشته باشند و در ادامه، مسئله‌ی وابستگی پیش نیاید. ( بدافزار جدید )

 

بدافزار Ploutus-D به مهاجمان اجازه می‌دهد در عرض یک دقیقه هزاران دلار را به سرقت ببرند و دیگر خطرات ناشی از سرقت و دستگیر شدن در اثر CCTV وجود نخواهد داشت. ( بدافزار جدید )

 

برای نصب این بدافزار، به احتمال زیاد مهاجمان به نرم‌افزار ماشین خودپرداز دسترسی داشته‌اند. کارشناسان حدس می‌زنند مهاجمان دستگاه‌های خودپرداز فیزیکی را از فروشندگان مجاز خریداری می‌کنند که بر روی آن به‌طور پیش‌فرض نرم‌افزارهای خودپرداز وجود دارد. در بدترین سناریو نیز مهاجمان می‌توانند مستقیماً دایرکتوری‌های خودپرداز را از بانک به سرقت ببرند. ( بدافزار جدید )

 

 

مقالات مرتبط :
بدافزار روسی در شبکه برق آمریکا !
حمله هکرها به سایت آمازون !

 

 

پیمان قربانزاده
پیمان قربانزاده
با سلام . پیمان قربانزاده هستم . مدیر سایت پویا سیستم . من و تمام مجموعه پویا سیستم خوشحال می شویم که به شما در زمینه مشکلات نرم افزاری که دارید . کمک کنیم . پس با ما در ارتباط باشید .

سیستم نظردهی برای این مطلب توسط مدیریت بسته شده است.