Video: WinPot V3 - Malware ATM (September 2024)
Cyberbrottslingar har infekterat uttagsautomater i Ryssland, Europa, USA, Indien och Kina med skadlig kod för att tömma kontanter lagrade i maskinerna, sa forskare från Kaspersky Lab denna vecka.
Attacker låser upp ATM-fallet, eventuellt med en standardnyckel och använder en startbar CD för att infektera maskinen med Tyupkin-skadlig programvara, säger forskare i Kaspersky Lab i ett inlägg på SecureList Tuesday. Den skadliga programvaran är utformad för att acceptera kommandon mitt på natten på söndagar och måndagar, och tyst resten av veckan, vilket gör det svårt att upptäcka.
Malware's Path
När skadlig kod har laddats på ATM kan angripare se hur mycket pengar som fortfarande finns i kassetterna i maskinen. Angriparen måste vara fysiskt framför ATM för att ange en speciellt genererad sexsiffrig PIN-kod genererad av skadlig kod för att ta ut pengar. De kan ta upp till 40 räkningar i taget utan att behöva svepa ett ATM-kort eller ange någon kontoinformation, säger Kaspersky Lab. Cirka 50 maskiner har smittats på detta sätt, enligt rapporten, som var en del av en gemensam utredning med Interpol.
"En unik sexsiffrig kombinationsnyckel baserad på slumpmässiga nummer genereras nyligen för varje session. Detta säkerställer att ingen person utanför gänget av misstag skulle kunna tjäna på bedrägeri. Sedan får den skadliga operatören instruktioner per telefon från en annan medlem i gänget som känner till algoritmen och kan generera en sessionnyckel baserad på det visade numret. Detta säkerställer att de mulor som samlar in kontanter inte försöker gå ensam, "enligt blogginlägget.
Intressant nog, om fel nyckel anges, inaktiverar skadlig programvara hela nätverket. Kaspersky-forskare var inte säkra på varför nätverket var inaktiverat. Det kan vara ett sätt att försena fjärrundersökare från att analysera skadlig programvara.
Kaspersky Lab identifierade inte tillverkaren av ATM-modellen som attackerades, och sa bara att maskinerna körde 32-bitarsversioner av Windows-operativsystemet. Säkerhetsexperter har varnat för att bankomater var mottagliga för attacker eftersom många av dem kör Windows XP och Microsoft inte längre stöder det gamla operativsystemet. Malware inaktiverade också McAfee Solidcore, som tillhandahåller revision av ändringshantering, konfigureringskontroll, PCI-efterlevnad och systemlåsning, installerad på maskinerna.
Uttagsautomater
Under de senaste åren har vi observerat en stor upptagning av ATM-attacker med skimming-enheter och skadlig programvara, "skrev Kaspersky Lab. Skimmers är hårdvara som brottslingar är anslutna till kortläsarna på maskinerna för att läsa kortinformationen från magnetbandet. När de har kortinformationen kan de skapa klonade kort och tomma bankkonton. Människor är mer medvetna om riskerna för ATM-skimmers och mer försiktiga, så cyberbrottslingar var tvungna att ändra sin taktik.
Nu ser vi den naturliga utvecklingen av detta hot med cyberbrottslingar som flyttar upp kedjan och riktar sig direkt till finansinstitut, "sade Kaspersky Lab. Finansinstitut måste förbättra maskinernas fysiska säkerhet samt uppgradera bankomater till nyare och mer säkra operativsystem, sade företaget.
