安全公司 FireEye 的安全专家发现 ATM 恶意软件 Ploutus 的新变种 Ploutus-D ，恶意软件已感染了拉丁美洲的 ATM 系统。

2013 年恶意软件 Ploutus 首次在墨西哥被发现，是更先进的 ATM 恶意软件系列之一。攻击者可通过外接键盘连接 ATM 或者发送 *** S 消息传播恶意软件，操作 ATM 系统窃取现金。

FireEye 实验室分析变种代码后发现，新恶意软件可针对 ATM 软件提供商 KAL 公司的 Kalignite ATM 软件平台。据统计显示 Kalignite ATM 平台目前被至少 80 个国家 40 多个不同厂商使用，潜在影响范围或将扩大。

ATM 软件供应商 KAL 公司的 “Kalignite ATM” 软件平台，基于 XFS 标准、适用于 Windows 10，Windows 8，Windows 7 和 XP ，系统功能丰富可满足所有类型的 ATM 自助服务。

KAL 公司的软件也被中国金融机构广泛使用，国内客户列表包含：中国工商银行、中国建设银行、交通银行、深圳发展银行、兴业银行（ CIB ）、中国光大银行、平安银行等。

新恶意软件 Ploutus-D 版本改进点有：

它适用于 Kalignite 多供应商 ATM 平台。
它可以运行在 Windows 10，Windows 8，Windows 7 和 XP 操作系统的 ATM 上。
它被配置为控制 Diebold ATM。
它有一个不同于 Ploutus 的 GUI 界面。
它配备一个启动器，尝试识别和杀死安全监控进程，以避免检测。
它采用了更强大的 .NET 混淆器。

Ploutus 和 新版本 Ploutus-D 之间的共性有：

主要目的是清空 ATM，不需要插入 ATM 卡。
攻击者必须使用外部键盘连接 ATM 并与恶意软件进行交互。
激活码都是由攻击者自己生成，且有效期只有 24 小时。
两者都是在 .NET 中创建的。
可以作为 Windows 服务或独立应用程序运行。

恶意软件会将自己添加到“ Userinit ”注册表项中，以便在每次重新启动都可执行，密钥位于：

\HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit。

攻击者必须将键盘连接到 ATM USB 或者 PS/2 接口与启动器进行交互。一旦启动器安装完成，便可通过外部键盘的“ F 组合键”发出指令。

Ploutus-D 可以允许攻击者在几分钟内窃取数千美元，作案时间相当短从而降低在窃取钱财时被捕的风险。不过，要打开 ATM 以露出 USB 或者 PS/2 接口还是有些难度的，是撬开 ATM 还是在机箱上钻洞呢？

稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。