據外媒報道,墨西哥出現了一種面向ATM機的新型惡意軟件家族,使得攻擊者能夠輸入兩組特殊的PIN碼來洗劫ATM的鈔箱。Proofpoint的研究人員率先留意到并分析了這款ATM惡意軟件,詭異的是,它和卡巴斯基于2014年10月發現、在俄羅斯和東歐地區肆虐的Padpin ATM惡意軟件有不少共同點。
新款惡意軟件的名字叫做GreenDispenser,它的不同之處是擁有兩項使其難以被檢測到的特殊技能,甚至可以在一段時間后自動禁用自己。
需要指出的是,想要感染這些ATM,必須先得物理接觸到目標機器,所以這件事情很大程度上就是內鬼所為、或者銀行員工在安裝時沒能留意到程序有被惡意軟件所修改過。
萬幸的是,想要揪出這些被感染的機器并不是難事,因為它們都會顯示一則虛假的服務消息——“Temporalmente fuera de servicio”(西班牙語的“服務暫不可用”)。
一旦被安裝,GreenDispenser就會像近期曝光的另一款名叫SUCEFUL的ATM惡意軟件一樣,通過XFS中間件為攻擊者敞開PIN碼輸入的交互之門。
然后,攻擊者會輸入兩組PIN碼來洗劫ATM機。Proofpoint的研究人員指出,第一組PIN碼是為了喚起這款惡意軟件,第二組PIN碼則是貼在每臺ATM機上的條碼標簽。
這款惡意軟件還附加了深度刪除功能,以便攻擊者在把鈔箱洗劫一空之后,清除掉自己留下的蹤跡。
考慮到某些可能無法得逞的場景,GreenDispenser的源代碼中還包括了第二重“保護措施”。當它每次啟動的時候,都會檢查一下日期和時間。如果在其硬編碼值之后,就不會執行。
如此一來,它就能夠繼續隱藏下去,知道攻擊者用新版本來替換它,或者在今后得逞之時刪除掉自己并掩蓋痕跡。
京公網安備 11010502049343號