ATMii Malware boleh benar-benar mengalirkan ATM

Computer Security News

Makmal Kaspersky penyelidik telah menemui satu perisian berniat jahat terperinci yang menyasarkan mesin juruwang automatik (ATM). Perisian berniat jahat yang baru ini mampu penyaliran semua tunai sedia ada yang disimpan di dalam ATM.

Ancaman jahat yang dipanggil ATMii dan ia adalah pertama kali melihat kira-kira enam bulan yang lalu. Malware itu termasuk untuk modul penyuntik (exe.exe) dan modul yang akan disuntik (dll.dll), dan penggodam perlu akses terus ke sasaran ATM (sama ada melalui rangkaian atau fizikal) untuk memasangnya.

Semasa menganalisis perisian berniat jahat di ATMii, pakar mendapati bahawa penyuntik, permohonan tidak dilindungi baris perintah, telah dikarang dalam Visual C dengan kompilasi palsu Cap masa empat tahun yang lalu. Ancaman termasuk sokongan untuk versi Windows yang lebih baru daripada Windows XP, iaitu platform paling ATM.

Penyuntik ini mensasarkan proses perisian ATM proprietari yang dipanggil atmapp.exe untuk menyuntik modul kedua ke dalamnya. Walau bagaimanapun, ia ternyata bahawa penyuntik yang agak buruk ditulis kerana ia bergantung pada sebilangan parameter dan menangkap pengecualian jika tiada parameter diberikan.

/Load mempunyai parameter yang disokong, yang cuba untuk menyuntik dll.dll ke atmapp.exe, /cmd, yang mencipta atau mengemaskini fail C:\ATM\c.ini (yang digunakan oleh suntikan DLL untuk membaca arahan), dan /unload, yang cuba untuk memunggah disuntik Perpustakaan dari atmapp.exe proses, semasa mengambil semula keadaan.

Melalui perintah tersedia, perisian berniat jahat yang boleh mengimbas untuk Perkhidmatan CASH_UNIT XFS, boleh difahamkan jumlah yang diingini (di mana “jumlah” dan “Mata Wang” digunakan sebagai parameter) Tunai, mendapatkan maklumat mengenai kaset Wang Tunai ATM menulis ke fail log dan mengalih keluar p : Fail \ATM\c.ini.

Modul ini disuntik cuba untuk mencari id Perkhidmatan ATM CASH_UNIT, kerana ia tidak boleh berfungsi tanpa Perkhidmatan ini. Setelah ia mendapati, modul ini menyimpan hasil dan mula lulus semua panggilan tambahan kepada fungsi yang bertanggungjawab membaca, penghuraian dan melaksanakan arahan dari fail C:\ATM\c.ini.

ATMii adalah satu lagi contoh bagaimana penjenayah boleh menggunakan Perpustakaan hak milik yang sah dan sekeping kecil kod untuk memberi wang dari ATM. Sesetengah pertahanan diri yang sesuai terhadap serangan itu akan lalai-menafikan dasar-dasar dan peranti kawalan. Langkah pertama yang menghalang penjenayah daripada berjalan kod mereka sendiri pada PC dalaman ATM, manakala langkah kedua yang akan menghalang mereka daripada menyambung peranti baru, seperti kayu USB,” menyatakan makmal Kaspersky.


Leave a Reply

Your email address will not be published. Required fields are marked *