ATMii Malware może całkowicie osuszyć bankomatów

Computer Security News

Kaspersky Lab naukowcy odkryli szczegółowe złośliwego oprogramowania, który jest ukierunkowany na bankomatów (ATM). Nowe złośliwe oprogramowanie jest zdolne do opróżniania wszystkie dostępne środki pieniężne przechowywane w bankomatach.

Zagrożenie złośliwego nazywa ATMii i po raz pierwszy zauważono o sześć miesięcy temu. Złośliwe oprogramowanie obejmuje moduł wtryskiwacza (exe.exe) i modułu, aby być wstrzykiwany (dll.dll), i hakerzy muszą bezpośredni dostęp do obiektu docelowego ATM (albo przez sieć lub fizycznie) aby go zainstalować.

Podczas analizowania ATMii malware, eksperci znaleźć, że wtryskiwacz, niechronione wiersza polecenia aplikacji, został napisany w Visual C z sygnaturą fałszywe kompilacja cztery lata temu. Zagrożenie obejmuje wsparcie dla Windows wersja nowsza niż Windows XP, który jest platforma najwięcej bankomatów.

Wtryskiwacz cele procesu własnościowego oprogramowania ATM o nazwie atmapp.exe do wstrzyknąć drugi moduł. Niemniej jednak okazuje się, że wtryskiwacz jest raczej źle napisany, gdyż zależy od wielu parametrów i wyłapuje wyjątek, jeśli nie jest podany.

Obsługiwane parametry funkcji/Load, który próbuje wprowadzić dll.dll do atmapp.exe, / cmd, która tworzy lub aktualizuje plik C:\ATM\c.ini, (który jest używany przez wstrzykuje DLL do czytania poleceń) i /unload, który próbuje zwolnić z wtryskiwanego bibliotekę atmapp.exe proces, podczas przywracania stanu.

Za pośrednictwem dostępnych poleceń złośliwego oprogramowania można skanowania usługi CASH_UNIT XFS, można zrezygnować żądaną ilość gotówki (gdzie “ilość” i “waluty” są używane jako parametry), pobrać informacje o kasetach gotówki ATM i zapisać go do pliku dziennika i usuwania C : Plik \ATM\c.ini.

Wtryskiwanego modułu próbuje znaleźć identyfikator usługi ATM CASH_UNIT, nie może funkcjonować bez tej usługi. Gdy go znajdzie, moduł zapisuje wynik i zaczyna, przekazując wszystkie kolejne wywołania funkcji odpowiedzialnych za czytanie, analizowanie i wykonywanie poleceń z pliku C:\ATM\c.ini.

” ATMii to kolejny przykład jak przestępcy można użyć uzasadnionych prawnie zastrzeżone biblioteki i kawałek kodu zrezygnować pieniądze z Bankomatu. Niektóre odpowiednich środków zaradczych przed takimi atakami są domyślne deny zasady i urządzenia kontroli. Pierwszy środek uniemożliwia uruchamianie własnego kodu na komputerze wewnętrznym ATM, podczas gdy drugi środek będzie zapobiegać ich podłączania nowych urządzeń, takich jak pamięci USB, przestępców” Państwa firmy Kaspersky Lab.


Leave a Reply

Your email address will not be published. Required fields are marked *