S21sec identifica nova variante do malware Ploutus

A S21sec detectou o reaparecimento do Ploutus, uma das famílias de malware ATM mais sofisticadas, que se apresenta com uma nova variante designada Ploutus-D, uma técnica utilizada para roubar...
S21sec-Ploutus

A S21sec detectou o reaparecimento do Ploutus, uma das famílias de malware ATM mais sofisticadas, que se apresenta com uma nova variante designada Ploutus-D, uma técnica utilizada para roubar avultadas quantias de dinheiro de uma caixa multibanco sem necessidade de utilizar um cartão de crédito ou débito.

Embora apresente um modus operandi semelhante ao seu predecessor Ploutus, a principal novidade do Ploutus-D é o facto desta nova variante usar os componentes do software para ATM da KAL – Kalignite, utilizado por mais de 40 diferentes fornecedores dos sistemas das caixas de multibanco.

Os componentes do Kalignite permitem que o Plotus-D abuse da camada XFS para obter o controlo ilegítimo dos dispositivos de hardware ATM como o dispensador, leitor de cartão e pinpad.

O Ploutus-D contém um executável (AgilisConfigurationUtility.exe) e um Launcher (Diebold.exe), podendo o primeiro ser executado como uma aplicação autónoma ou como um serviço instalado, esperando por uma combinação de teclas para activar e assumir o controlo do ATM a partir do teclado. De seguida, exibe uma GUI personalizada pedindo um código de autorização.

Se a autorização for concedida, o PLOUTUS-D mostra os detalhes da quantidade de dinheiro disponível e utiliza os componentes XFS da Kalignite para interagir com o distribuidor ATM, permitindo que sejam emitidos vários comandos de dispensa para esvaziar o dinheiro. Finalmente, após a conclusão do ‘cash-out’, o PLOUTUS-D fornece um mecanismo de limpeza para remover quaisquer vestígios do ataque.

No caso do PLOUTUS-D, o ataque pode ser interrompido na fase de infecção através do bloqueio de dispositivos externos USB, do teclado (HW Protection) e do disco rígido (Full Disk Encryption) para evitar a manipulação fora do sistema operativo. Mesmo nos casos em que o ATM é infectado com PLOUTUS-D, o ataque pode ainda ser bloqueado usando a aplicação Whitelisting.

Via S21Sec.

Categorias
HardwareNotíciasSegurança

Terra. Europa. Portugal. Lisboa. Elite: Dangerous. Blade Runner. Star Trek. Star Wars. Kraftwerk. Project Pitchfork. Joe Hisaishi. Studio Ghibli.
Assinaturas

ARTIGOS RELACIONADOS

Newsletter PCGuia
Subscreva a newsletter da PCGuia para ficar a par das últimas notícias, dicas e análises de hardware e software.
Subscrever
close-link