近期，安全研究人員發(fā)現(xiàn)了一種名叫ATMii的新型ATM惡意軟件，這種惡意軟件主要針對(duì)的是安裝了Windows 7以及Windows Vista的ATM取款機(jī)。

這種惡意軟件的攻擊機(jī)制非常的特別，因?yàn)槟壳敖^大多數(shù)的ATM機(jī)運(yùn)行的都是簡(jiǎn)版的Windows XP，這就意味著ATMii并不能對(duì)目前大多數(shù)的ATM機(jī)實(shí)施攻擊。但這同時(shí)也意味著，ATMii的開(kāi)發(fā)者是故意這樣設(shè)計(jì)的，而他的目標(biāo)很可能是想針對(duì)某個(gè)特定的ATM機(jī)網(wǎng)絡(luò)實(shí)施攻擊，只有這樣才能解釋他為何要開(kāi)發(fā)出這樣一款使用場(chǎng)景如此受限的惡意軟件。

　　ATMii發(fā)現(xiàn)于2017年4月份

ATMii在今年的4月份被安全研究人員所發(fā)現(xiàn)，當(dāng)時(shí)某家受感染的銀行向卡巴斯基實(shí)驗(yàn)室提交了一份惡意軟件樣本，而卡巴斯基在對(duì)該惡意軟件的功能進(jìn)行了深入分析后也發(fā)布了詳細(xì)的技術(shù)分析報(bào)告【ATMii詳細(xì)分析報(bào)告】。

根據(jù)卡巴斯基實(shí)驗(yàn)室高級(jí)研究人員Konstantin Zykov的介紹，這款?lèi)阂廛浖膹?fù)雜程度其實(shí)并不高，整個(gè)ATMii惡意軟件僅由兩個(gè)文件組成：exe.exe和dll.dll。為了在目標(biāo)ATM機(jī)系統(tǒng)中安裝ATMii，犯罪分子必須通過(guò)網(wǎng)絡(luò)或者USB接口來(lái)訪問(wèn)目標(biāo)設(shè)備。如果能夠?qū)崿F(xiàn)其中一種情況的話，攻擊者將需要向目標(biāo)ATM機(jī)的存儲(chǔ)驅(qū)動(dòng)器中拷貝這兩份文件，然后運(yùn)行exe.exe。這個(gè)文件會(huì)搜索標(biāo)準(zhǔn)atmapp.exe進(jìn)程，然后向其注入惡意dll.dll文件。而這個(gè)DLL文件將允許攻擊者與合法的atmapp.exe進(jìn)行交互，并完全控制目標(biāo)ATM機(jī)。

該惡意軟件支持三種命令，但這已經(jīng)足夠了

在受感染的ATM機(jī)上，攻擊者可以進(jìn)行三種惡意操作。首先，他們可以掃描ATM機(jī)的現(xiàn)金盒，并實(shí)時(shí)記錄ATM機(jī)的準(zhǔn)確交易記錄。其次，他們還可以控制ATM機(jī)的吐鈔數(shù)量。第三，他們可以通過(guò)刪除本地配置文件來(lái)實(shí)現(xiàn)ATMii的自毀。

Zykov建議稱(chēng)，各大銀行應(yīng)該采取一定的措施來(lái)限制ATM機(jī)端口的網(wǎng)絡(luò)以及物理訪問(wèn)，這樣可以幫助ATM機(jī)系統(tǒng)抵御絕大多數(shù)的ATM惡意軟件。

除了ATMii之外，近幾年還曾出現(xiàn)過(guò)還能多類(lèi)似ATMitch、GreenDispenser、Alice、Ploutus、RIPPER、Skimer和SUCEFUL等針對(duì)ATM機(jī)的惡意軟件。由此看來(lái)，銀行ATM機(jī)所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也不容小覷。

* 參考來(lái)源：bleepingcomputer， FB小編Alpha_h4ck編譯，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM