Jump to content
автогарант Депозитарий
Sign in to follow this  
Шагоход

Ploutus - троян под АТМ

Top Posters


Recommended Posts

Members

Общие характеристики Ploutus

АТМ вирусы довольно редки. И не только потому, что ПО АТМ очень сложное или хорошо защищенное, а прежде всего потому, что внедрение вируса требует физического контакта с банкоматом.
Бэкдор для компьютерного банкомата Ploutus («Плотус») был разработан в 2013 году и засветился первый раз в Мексике (сентябрь 2013). Самый яркий пример применения бэкдора по СНГ, которого  в Др Вебе отнесли к троянцам, это массовое снятие денег в Украине – в выходные 8-9.02.2014 : атакам подверглись терминалы ВТБ, Альфа-банка (Киев и обл.).

При реверсе исходников просматривался испанский след – разработчики, скорее всего, были из Латинской Америки. Очень интересно узнать, для каких банкоматов (ПО) написан Плотус. По высказанным мнениям, malware далеко не универсальна. Так как по мнению представителей европейской компании по ИБ разработчики Плотуса либо получили полный физический доступ к конкретному банкомату, либо являлись сотрудниками фирмы, имеющей отношение к банкоматам (обслуживание, продажа) определенного типа.
но причина узкого применения могла быть и другой: например, где-то легче отправить в ребут целевую систему.

Потому, покупателям приватного софта наверное интересно оценить конкретные возможности троянца-бэкдора с учетом региона.
Согласно статистике 96% банкоматов в мире работают на версии Windows XP, которая перестанет поддерживаться Microsoft 8 апреля 2015 года. Поэтому, несмотря на требования международного стандарта безопасности для таких устройств, как банкомат (терминал) PCI DSS, ПО банкомата до сих пор остается уязвимым в принципе, на базовом уровне, что позволяет атаковать целевую систему успешно, при некоторых условиях.

 

В частности, для бэкдора, к которым принадлежит и Плотус, это непосредственный доступ  к материнской плате банкомата, точнее – к ее USB-порту. Решается проблема доступа двояко: но чаще всего (что проще чем заражение флешек сотрудников) вырезанием корпуса, для подходящих банкоматов (удаленное место).
Основные характеристики:
- удаленная активация через SMS;
- управление купюрами в банкомате;
- чтение информации о картхолдере, введенной с клавиатуры;
- самоудаление.

История развития АТМ-троянца Плотус

Первая версия Плотуса, обнаруженная в Мексике, требовала команд с внешней клавиатуры, которые вводил курьер. Для внедрения кода использовалось гнездо загрузочного диска АТМ.
По версии DrWeb-а существует три редакции Ploutus-a. Последняя датируется декабрем 2013 года. За время эволюции авторы перевели интерфейс на английский, дописали модули, изменив архитектуру, усовершенствовали систему обхода проактивной защиты АВ.
Насколько можно было добраться до фрагментов исходников первой версии, она была написана на C# (.NET), третья же включала модули и скомпилированную библиотеку, написанные на делфях.  Файлы Плотуса

  • NCRWMI.exe – (.NET)
  • Ploutos.exe
  • ServiceP.dll– (сниффер, delphi)
  • %Windir%\System32\Log.txt – лог-файл

Кстати, Delphi да и языки .NET всегда хорошо поддавались декомпилированию, (чем мне частенько приходилось пользоваться, переделывая чужой труд под себя), поэтому разработчкики АВ фактически получили доступ к исходникам модулей, что легко дало понять логику работы, связь с интерфейсом и процедуру обналичивания – вплоть до конкретных команд.

В последних версиях изменена физическая сторона подключения к банкомату. Алгоритм такой:
1.    К порту USB подключается смартфон с Плотусом на борту.
2.    Копируется на жесткий диск АТМ.
3.    Вызывается рестарт АТМ.
4.    Активируется Плотус, резидентно в памяти висит сниффер, слушающий пакеты протокола TCP/IP и ждущий команду на запуск. (на скрине выделена команда активации)


5.    При поступлении нужной команды с внешнего телефона в формате SMS для внутреннего телефона активируется команда на снятие денег.

6.    Существует команда на самоуничтожение, после снятия денег.

 

Благодаря подключению к USB, телефон внутри банкомата может лежать сколь угодно долго, дожидаясь команды съема денег.

 

Share this post


Link to post
Share on other sites
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

Даркнет на русском

Darknet.support - территория без форумных кидал! У нас на форуме запрещена коммерческая деятельность, если вы ищите товары или услуги то пишите в наш телеграм канал - администрация форума проконсультирует вас и направит к надежному продавцу. На страницах форума представлено более 1000 обучающих видео, полезных статей, интервью с участниками даркнета, а также ответы на вопросы новичков. Нахождение на сайте не нарушает законодательство РФ и других стран СНГ. Участники форума не продают противозаконный товар и не оказывают запрещенных услуги.

Администрация сообщества darknet

Даркнет в соц сетях

О Форуме Darknet

Сообщество Даркнет - Официальный сайт. Авторитетная площадка, на которой собрались лучшие умы даркнет паутины. Изначально сеть Darknet создали Американские военные вместе с ARPANet (В последствии стала называться Интернетом). С появлением TOR теневая паутина стала доступна обычным обывателям. Для пребывания на нашем портале подключение к TOR не требуется! На Нашем форуме можно встретить Журналистов, Блогеров, Общественных деятелей, Работников правительственных организаций, Банковских работников, Хакеров всех мастей и других одиозных личностей. Количество сенсационных тем и статей на форуме зашкаливает - у нас обсуждают порицаемые со стороны морали темы и вещи за исключением совсем уж черных и низких дел. 

Пользователь регулярно проводит сделки через гарант сервис и имеет положительную торговую статистику на площадке. Скорее всего ему можно доверять и работать напрямую. С правилами работы через гарант вы можете ознакомится тут.
Пользователь не провел ни одной сделки через гарант. О правилах работы через гарант вы можете ознакомиться тут.
Пользователь внес страховой депозит на форуме. Является проверенным селлеров и гарантированно проводит все сделки через гарант сервис Даркнета. Подробнее о системе депозитов вы можете прочитать тут.
Пользователь не имеет обеспечительного депозита на форуме, при работе с ним не отправляйте предоплату и всегда привлекайте гаранта к сделкам. Подробнее о системе депозитов вы можете прочитать тут.
Статус пользователя "НЕ ПРОВЕРЕН" гласит о том, что он не прошел верификацию своего аккаунта в Даркнете. Верификацию можно пройти предоставив положительные отзывы и рекомендации о себе. Подробнее о том, как пройти верификацию Вы можете прочитать тут.
Статус пользователя "ПРОВЕРЕННЫЙ" говорит о том, что селлер прошел проверку своих товаров или услуг у Администрации Даркнета. Подробнее о том, как пройти проверку вы можете прочитать тут.
×