1 / 26

Ploutus-D, un malware para cajeros automáticos

Ploutus-D, un malware para cajeros automáticos. Gabriela nicolao. WhoamI. Ingeniera y docente de la UTN. Especialista de la Facultad del Ejercito. Trabajo en el área de seguridad hace 5 años, en Deloitte. Entre otras tareas, realizo análisis de piezas de Malware (software malicioso).

nwilliamson
Download Presentation

Ploutus-D, un malware para cajeros automáticos

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ploutus-D, un malware para cajeros automáticos Gabriela nicolao

  2. WhoamI • Ingeniera y docente de la UTN. • Especialista de la Facultad del Ejercito. • Trabajo en el área de seguridad hace 5 años, en Deloitte. • Entre otras tareas, realizo análisis de piezas de Malware (software malicioso). @rove4ever

  3. Formas de obtener dinero de un cajero • Robando el cajero. • Skimming (dispositivos físicos instalados en el cajero). • Secuestrando a la víctima. • Jackspotting (o “logicalattacks”) Ploutus-D. • Reverse ATM attack. • Accediendo a la red del cajero a través del a red del banco.

  4. Formas de obtener dinero de un cajero

  5. Historia de Ploutus • Descubierto en Mexico en 2013. • Variantes: • Septiembre 2013: Backdoor.Ploutus • Octubre 2013: Backdoor.Ploutus.B • Octubre 2016: Ploutus.C • Noviembre 2016: Ploutus-D

  6. Ficha de Ploutus-d • Propagación: CDs de booteo o dispositivo en puerto USB. • Objetivos: Cajeros Diebold. • Características: • Recibe comandos por teclado o SMS. • Desarrollado en .NET. • Modular • Muestras utilizadas en el análisis: • 7fd109532f1e49cf074be541df38e0ce190497847fdb5588767ca35b9620a6c2 (Diebold.exe, el launcher) • E75e13d3b7a581014edcc2a397eaffbf91c3e5094d4afd81632d9ad872f935f4 (AgilisConfigurationUtility.exe, el core)

  7. Desofuscando Ploutus-d • Ofuscador: .NET Reactor (http://www.eziriz.com/dotnet_reactor.htm) • Se aplico un programa desofuscador (de4dot), obteniendo los siguientes archivos: • 53f223fbbeaf18fe70e0686aef7b9b6c10b7b003779ddfab9ffa0f50688adfae (Diebold.exe) • 628c9d4906ff88a6ec61bf388086fed6dcf703e4fef03b2c66267eb0f82250ff (AgilisConfigurationUtility.exe)

  8. Launcher - Diebold.exe

  9. Launcher - Diebold.exe • Configuración

  10. Launcher - Diebold.exe • Servicio: DIEBOLDP

  11. Launcher - Diebold.exe • Mutex: DIEBOLDPL, Ploutos

  12. Launcher - Diebold.exe • Persistencia • HKLM\SYSTEM\CurrentControlSet\Services

  13. Launcher - Diebold.exe • Persistencia • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  14. Launcher - Diebold.exe • Comandos interpretados por el Launcher

  15. Launcher - Diebold.exe • Comandos interpretados por el Launcher

  16. Launcher - Diebold.exe • Control remoto

  17. Launcher - Diebold.exe • Creación de archivos de Log

  18. Launcher - Diebold.exe • Intenta correr como usuario Privilegiado • Archivo Journal: edclocal.dat

  19. Core – AgilisConfigurationUtility.exe

  20. core - AgilisConfigurationUtility.exe • Archivos de log: Log.txt y Log2.txt

  21. core - AgilisConfigurationUtility.exe • Archivos de log: Log.txt y Log2.txt

  22. core - AgilisConfigurationUtility.exe • Verificación de tiempo

  23. core - AgilisConfigurationUtility.exe • Errores Gramaticales

  24. core - AgilisConfigurationUtility.exe • Archivo P.bin

  25. core - AgilisConfigurationUtility.exe • Comandos interpretados por Ploutus-D

  26. Conclusiones • Los criminales deben tener acceso físico o a la red del cajero para infectarlo y vaciarlo. • Los criminales son cada vez mas creativos a la hora de obtener dinero. • Los criminales posiblemente serían personas de habla hispana: • Se encontraron cadenas de palabras escritas en español. • Se encontró la cadena “PLOUTUS-MADE-IN-LATIN-AMERICA-XD”. • Se encontraron malas implementaciones de ciertas palabras de idioma inglés. • La mayoría de las muestras de Ploutus-D que fueron subidas a VirusTotal, inclusive las usadas en este análisis, fueron subidas desde países latinos. • Si bien se abrió la superficie de ataque, en un principio los países atacados eran latinos. • Los cajeros son altamente vulnerables (al día de hoy muchos siguen usando Windows XP).

More Related