軟件被惡意植入,在悄無聲息的情況下自行運行,最后再自我刪除,毫無痕跡……
新型的ATM惡意軟件
安全專家最近發現一個新的 ATM 惡意軟件,這個惡意軟件被稱為GreenDispenser,該惡意軟件為非法分子竊取毫無防護之力的ATM現金提供了強大的臂助。
惡意軟件的發現過程
安全服務商Proofpoint,初步還原了黑客利用該惡意軟件實施攻擊的全過程,也提出警告,這個惡意軟件雖然只是在墨西哥被初步發現,但是在其他國家中很難阻止使用類似的技術對ATM進行攻擊,從而竊取現金。
當將惡意軟件植入ATM的時候,ATM的界面會顯示“暫停服務”的通知,只要在惡意軟件自動刪除之前,黑客輸入正確的PIN碼就可以讓ATM吐出現金。
這個惡意軟件讓我們聯想到去年發現的ATM惡意軟件Ploutus ,以及另外一個被稱為 Tyupkin的惡意軟件。 Tyupkin,也是在墨西哥首次被發現,但是后來擴散到俄羅斯以及亞洲部分國家和地區。
Proofpoint的首席安全專家Kevin Epstein 告訴EI Reg:
”GreenDispenser相比于其他兩個惡意軟件顯得更加的高級,GreenDispenser有能力利用XFS的中間件標準,入侵不同的ATM供應商機器的硬件。”
GreenDispenser最初的擴散、植入,是需要物理訪問到ATM機系統的,而實現的過程很可能是通過維護ATM機的工程師,或者是被賄賂的銀行內部管理人員。而一旦植入了GreenDispenser之后,它啟用的功能類似于Tyupkin,但是也有一些不一樣的功能:時間限制和雙因子認證。時間限制是指其能在指定的時間運行,雙因子認證是為了確保只有犯罪團伙成員能從感染的機器取出現金。
據Proofpoint 分析,GreenDispenser的運行時間是在2015年9月之前,而且也只是在特定系統中靜默運行,避免被發現。GreenDispenser中也捆綁了一個批處理腳本,專門用來進行深度自我刪除(包括各種資料錄像等),掃除運行痕跡。
同時,在GreenDispenser運行過程中,通過一個移動終端應用,控制惡意軟件運行,通過雙因子認證的方式生成PIN驗證碼,犯罪團伙成員通過在ATM機上輸入該驗證碼,就可以讓ATM機吐出現金。
惡意軟件的雙因子驗證,犯罪團伙成員先是通過使用一個靜態硬編碼的PIN碼進行驗證,一次驗證過后,在第二次驗證時犯罪團伙成員先通過移動終端應用控制惡意軟件在ATM機器上生成QR碼(二維碼的一種),再通過掃描這個QR碼生成動態PIN碼,最后輸入動態PIN碼讓ATM機吐出現金。
結語
ATM惡意軟件,如上述提到的GreenDispenser, Tyupkin and Ploutus,使得外部入侵者能夠直接攻擊金融基礎設施,而不用其他額外的方法去獲取用戶的信用卡和借記卡信息,這對于金融機構來說,將是一個持續的挑戰,在這種情況下,銀行機構應該是先加強內部的安全管理。
京公網安備 11010502049343號