Нажмите F3, чтобы получить деньги: обнаружено опасное вредоносное ПО для банкоматов Ploutus

Father

Father

Professional
Messages
2,602
Reaction score
837
Points
113
atm-malware.jpg


FireEye обнаружила еще одну разновидность вредоносного ПО для банкоматов Ploutus, которое использовалось еще пару лет для того, чтобы банкоматы снимали деньги за плату.

Ploutus позволил преступникам опустошать банкоматы, используя либо внешнюю клавиатуру, подключенную к аппарату, либо посредством SMS-сообщения - метод, который раньше никогда не применялся.

Существует некоторая ранее ненаблюдаемая версия Ploutus, получившая название Ploutus -D, которая взаимодействует с платформой банкоматов Kalignite от KAL.

Выявленные нами образцы нацелены на поставщика банкоматов Diebold. Тем не менее, минимальное изменение кода для Ploutus-D значительно расширит целевые показатели поставщиков банкоматов, поскольку платформа Kalignite работает на 40 различных поставщиках банкоматов в 80 странах.

Как это работает
При передаче в банкомат Ploutus-D позволяет наличному ослу получить большое количество долларов за считанные минуты. У денежного осла должен быть ключ-туз, чтобы открыть верхний сегмент банкомата (или иметь возможность его забрать), физическая консоль для взаимодействия с автоматом и код активации (предоставленный менеджером, ответственным за операцию), сохраняющий в виду конечная цель - управлять наличными через банкомат.

FireEye описал некоторые предыдущие действия Ploutus
  • Он использует платформу банкоматов от различных поставщиков Kalignite.
  • Он мог работать на банкоматах под управлением операционных систем Windows 10, Windows 8, Windows 7 и XP.
  • Он настроен для управления банкоматами Diebold.
  • У него другой графический интерфейс.
  • Он поставляется с программой запуска, которая пытается идентифицировать и прекращать процессы мониторинга безопасности, чтобы избежать обнаружения.
  • Он использует более сильный обфускатор .NET под названием Reactor.

Общность Ploutus и Ploutus-D
  • Основная цель - опорожнить банкомат, не требуя банкоматной карты.
  • Злоумышленник должен взаимодействовать с вредоносной программой с помощью внешней клавиатуры, подключенной к банкомату.
  • Злоумышленник генерирует код активации, срок действия которого истекает через 24 часа.
  • Оба были созданы в .NET.
  • Может работать как служба Windows или отдельное приложение.

Новый вариант вредоносного ПО Ploutus нацелен на банкоматы производства Diebold
Как указывают исследователи, этот новый вариант был замечен в ноябре 2016 года, когда кто-то перенес дубликат на накопленный механизм фильтрации VirusTotal.

Эта путаница позволила исследователям заполучить дубликат этой новой формы, которую они назвали Ploutus-D из-за элементов, которые позволяли ей явно нацеливаться на банкоматы Diebold.

Позднее расследование показало, что с небольшими изменениями Ploutus-D может аналогичным образом сосредоточиться на банкоматах разных продавцов, которые сфабриковали свои распределители денег на платформе Kalignite, которые в настоящее время обслуживают 40 различных продавцов банкоматов в 80 странах.

Клавиатура помогает кардерам разряжать банкоматы
Как и в прошлых вариантах, хулиганы отправляют Ploutus-D на случай, если они смогут добраться до незащищенных портов ATM, где они связывают консоль с доступными портами ATM.

Клавиатура позволяет им получить доступ к продукту банкомата. По мнению специалистов, Ploutus-D может успешно использоваться против банкоматов, работающих под управлением Windows 10, 8, 7 и XP.

После привязки клавиатуры появляется интерфейс линии зарядки, и читы могут использовать консоль для ввода сочетаний клавиш Fx для управления банкоматом, например «F8 F1» или «F8 F4 F5».

После того, как осужденные определятся с суммой денег, которую они должны взять, им просто нужно нажать F3 и забрать свои деньги.

Ploutus-CLI.png


Даниэль Регаладо, аналитик вредоносного ПО FireEye, сказал: «Этот код предоставляется начальником, отвечающим за операцию, и рассчитывается на основе уникального идентификатора, созданного для каждого банкомата, а также текущего месяца и дня атаки».

Основные сведения о Ploutus
  • Ploutus-D был загружен на VirusTotal в ноябре 2016 года.
  • Ploutus-D был загружен на VirusTotal в ноябре 2016 года.
  • Это наблюдалось в Латинской Америке.
  • Ploutus-D действует на банкоматы Diebold.
  • В Ploutus-D могут быть внесены незначительные изменения, чтобы повлиять на других поставщиков, использующих платформу Kalignite.
  • Это активность Через физический доступ к банкомату.
  • Через внешнюю клавиатуру, которую необходимо подключить к банкомату.
 
You must log in or register to reply here.

Similar threads

chushpan
Вирусы для банкоматов
Replies
1
Views
913
Cloned Boy
Cloned Boy
Cloned Boy
ТОП-10 историй с ограблением банкоматов: Как быстро можно вскрыть банкомат? Реальные случаи!
Replies
0
Views
474
Cloned Boy
Cloned Boy
Professor
От скиммеров до симуляторов: Как устройства для кражи данных эволюционировали в учебные тренажёры для банковских инженеров
Replies
0
Views
83
Professor
Professor
S
Как работают скиммеры и как их обнаруживают? (Устройство скиммеров, их установка на банкоматы/POS-терминалы, способы защиты)
Replies
0
Views
480
Student
S
Professor
Как работает взлом банкоматов
Replies
2
Views
943
BadB
BadB
Back
Top