今年9月賽門鐵克曾發現一隻名為Backdoor.Ploutus的惡意程式,專門針對ATM下手竊取現金,而最近該公司發現這隻惡意程式出現變種Backdoor.Ploutus.B,而且也翻譯成英文版本。
賽門鐵克技術人員Daniel Regalado指出,變種英文版惡意程式的二進位名稱由PloutusService.exe改為Ploutos.exe,並從原本的單一程式進化為模組化架構。從原本墨西哥文版本翻譯成英文版,表示罪犯已在利用相同ATM軟體擴張到英語系國家。
不過所有Ploutus的作業途徑都差不多一樣。這隻惡意程式必須利用CD開機光碟片插入Windows的ATM電腦光碟機,以便感染電腦,種入Dispatcher DLL,並開啟一個raw socket 。之後攻擊者透過ATM鍵盤傳送16碼的指令碼,將指令透過raw socket傳到分派程式 (Dispatcher)。
待命中的Dispatcher接到指令後,就開始透過指令行參數執行Ploutus,並且啟動計時功能,讓提款機在第一個24小時後吐鈔。
賽門鐵克指出,Ploutus會計算提款機的吐鈔口及鈔票箱個數,它會假設每個吐鈔口最多只有4個鈔票箱。然後根據面額和張數來計算鈔票箱有多少現金。如果任何鈔票箱少於40張鈔票,它就會開始搜刮剩下的鈔票,重覆該動作直到ATM清空為止。
賽門鐵克指出,為了防止ATM的錢不翼而飛,必須謹防歹徒有機可趁接近CD光碟機,並安裝最新版防毒軟體。另外,也要將BIOS開機設定成只能從硬碟開機,不可從CD、DVD、USB開機,並設定密碼,使攻擊者無法設定開機選項。甚至考慮移除能讓BIOS啟動開機程序的硬體。(編譯/林妍溱)
熱門新聞
2025-02-08
2025-02-10
2025-02-08
2025-02-08
2025-02-10
2025-02-10