ATMZombie是卡巴斯基近期發現的新型銀行木馬程序,目前已經被證實用于攻擊以色列銀行。ATMZombie惡意程序于2015年11月份首次發現,使用經典的代理更換(proxy-changing)方式來嗅探傳輸至銀行入口的通信流量,第二步驟則是配合線下和一系列錢騾(Money mule)從ATM機上取出錢財
代理更換方式(proxy-changing method)是惡意軟件開發者的經典方式,它圍繞著手工更換瀏覽器的代理配置文件來替換掉瀏覽器默認的PAC(代理自動配置)文件。這些惡意PAC文件能夠引導所有瀏覽器的流量通過一個由攻擊者創建的節點,能夠用于登記所有的細節。為了打破加密的HTTPS鏈接,ATMZombie同時還在受感染PC上安裝了簽署自己名字的證書。
一旦數據被竊取,攻擊者就會進入“手動模式”階段,因為在以色列當地允許銀行賬戶在沒有銀行賬號或者信用卡的情況給某人轉賬,所以目前該惡意程序爆發主要集中在以色列。使用竊取的憑證,攻擊者能夠登陸受害人的賬號,并發送小型支付到攻擊者的錢騾上。攻擊者也會使用SMS功能來實現,這僅針對以色列銀行。
錢騾收到SMS端口之后,可以到當地任意銀行ATM上輸入短信上信息和授權碼,ATM就會自動從受害人賬號上完成轉賬。卡巴斯基分析師表示多家以色列銀行已經被這種方法攻擊,目前已經有數百名受害者。所幸的是這種方法并不允許大額現金,無法完成750美元以上的支付。
京公網安備 11010502049343號