Ploutus 新变种出现：可影响中国在内至少 80 个国家 ATM 设备

安全公司 FireEye 的安全专家发现 ATM 恶意软件 Ploutus 的新变种 Ploutus-D ，恶意软件已感染了拉丁美洲的 ATM 系统。

2013 年恶意软件 Ploutus 首次在墨西哥被发现，是最先进的 ATM 恶意软件系列之一。攻击者可通过外接键盘连接 ATM 或者发送 SMS 消息传播恶意软件，操作 ATM 系统窃取现金。

FireEye 实验室分析变种代码后发现，新恶意软件可针对 ATM 软件提供商 KAL 公司的 Kalignite ATM 软件平台。据统计显示 Kalignite ATM 平台目前被至少 80 个国家 40 多个不同厂商使用，潜在影响范围或将扩大。

ATM 软件供应商 KAL 公司的 “Kalignite ATM” 软件平台，基于 XFS 标准、适用于 Windows 10，Windows 8，Windows 7 和 XP ，系统功能丰富可满足所有类型的 ATM 自助服务。

KAL 公司的软件也被中国金融机构广泛使用，国内客户列表包含：中国工商银行、中国建设银行、交通银行、深圳发展银行、兴业银行（ CIB ）、中国光大银行、平安银行等。

新恶意软件 Ploutus-D 版本改进点有：

它适用于 Kalignite 多供应商 ATM 平台。
它可以运行在 Windows 10，Windows 8，Windows 7 和 XP 操作系统的 ATM 上。
它被配置为控制 Diebold ATM。
它有一个不同于 Ploutus 的 GUI 界面。
它配备一个启动器，尝试识别和杀死安全监控进程，以避免检测。
它采用了更强大的 .NET 混淆器。

Ploutus 和 新版本 Ploutus-D 之间的共性有：

主要目的是清空 ATM，不需要插入 ATM 卡。
攻击者必须使用外部键盘连接 ATM 并与恶意软件进行交互。
激活码都是由攻击者自己生成，且有效期只有 24 小时。
两者都是在 .NET 中创建的。
可以作为 Windows 服务或独立应用程序运行。

恶意软件会将自己添加到“ Userinit ”注册表项中，以便在每次重新启动都可执行，密钥位于：

\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit。

攻击者必须将键盘连接到 ATM USB 或者 PS/2 接口与启动器进行交互。一旦启动器安装完成，便可通过外部键盘的“ F 组合键”发出指令。

Ploutus-D 可以允许攻击者在几分钟内窃取数千美元，作案时间相当短从而降低在窃取钱财时被捕的风险。不过，要打开 ATM 以露出 USB 或者 PS/2 接口还是有些难度的，是撬开 ATM 还是在机箱上钻洞呢？

稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。

from hackernews.cc.thanks for it.