Alice er navnet på den nyeste Pengeautomat malware familie der er blevet opdaget af forskere på TrendMicro. Alice ATM malware er en smule anderledes end andre ATM malware stykker - det er ikke styres via det numeriske tastatur af pengeautomater og det behøver ikke infostealer funktioner. Alice eneste formål er at hæve pengeautomater.
Den malware blev opdaget i november i år. Forskere samlet en liste over hashes, og filerne der svarer til de hashes blev opnået fra VirusTotal til detaljeret analyse. Forskere først troede, at en af de binære filer tilhørte en ny variant af Padpin ATM malware. En omvendt analyse senere, og det blev vurderet, at den binære beloned til en helt ny familie.
Relaterede: Millioner Stjålne via ATM Malware Rigged Gør Machines Drop Cash
Alice ATM Malware: Tekniske Detaljer
Først og fremmest, hvorfor Alice? Navnet stammer fra den version oplysninger indlejret i den ondsindede binære.
Udover dens navn, der er andre nysgerrige detaljer om Alice. Som forklaret af forskere, malware er meget feature-mager og kun omfatter den grundlæggende funktionalitet er nødvendig for at tømme sikkert af den målrettede ATM penge. Alice er designet til at oprette forbindelse til CurrencyDispenser1 perifere men det er ikke designet til at bruge ATM PIN pad. En logisk forklaring er, at cyberkriminelle vil fysisk åbne ATM at inficere det via USB eller CD-ROM. Når dette er ned, et tastatur ville være forbundet med pengeautomater bundkort til at betjene malware gennem det.
En anden mulig scenario åbner en remote desktop til at styre menuen via netværket, men TrendMicro aldrig set Alice gøre dette.
Eksistensen af en PIN-kode, før pengene dispensering antyder, at Alice kun anvendes til i-personers angreb. Heller ikke Alice har en udførlige installere eller afinstallere mekanisme-det virker ved blot at køre den eksekverbare i det relevante miljø.
På den anden side, Alice deler nogle ligheder med andre ATM malware familier, såsom brugergodkendelse. Money mules får den faktiske pinkode, som er nødvendig for driften. Den første kommando de træder dråber oprydning script, mens du indtaster maskinen-specifikke pinkode lader dem adgang betjeningspanelet for pengene dispensering, TrendMicro forklarede.
Denne adgangskode skifter mellem prøver at forhindre muldyr at dele koden og forbigå den kriminelle bande, at holde styr på individuelle money mules, eller begge. I vores prøver adgangskoden er kun 4 cifre, men dette kan let ændres. Forsøg på at brute-force adgangskoden i sidste ende vil medføre, at malware til at opsige sig, når PIN-indtastning er nået.
Relaterede: DiamondFox Botnet stjæler finansielle oplysninger
Alice designet til at køre på XFS Miljø
Forskere mener også, at Alice var designet til at køre på enhver sælgers hardware konfigureret til at bruge Microsoft Extended Financial Services middleware kendt som XFS. Alice kun søger efter et XFS miljø. Desuden, malware bruger kun kommercielt tilgængelige pakket ligesom VMProtect. TrendMicro fundet GreenDispenser pakket med Themida, og Ploutus pakket med Phoenix Protector, blandt andre. Anvendelsen af emballage gør det vanskeligt for analyse og reverse engineering, der skal udføres. Malware er blevet afhængige af disse metoder for evigt, med de fleste moderne malware ved hjælp specialbyggede pakkere.
Det er faktisk mærkeligt, at ATM malware behov så meget tid til at omfavne pakning og formørkelse. En årsag kan være, at ATM malware var mere af en niche kategori drives af blot et par kriminelle grupper. Desværre, ATM malware bliver mere mainstream, hvilket betyder, at dens forfattere vil fortsætte med at udvikle deres arbejde.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: