En underlig kendsgerning - israelske banker har ikke været mål for bank malware. Indtil nu. Kaspersky forskere har for nylig opdaget den allerførste bank Trojan gør netop det, rettet mod israelske banker. Den trojanske er blevet døbt ATMZombie.
ATMZombie anvender den velkendte proxy-skiftende teknik til at snuse trafik til banksider. Efter en række ondsindede aktiviteter, ofrenes penge hentes fra pengeautomater af de såkaldte penge muldyr.
Mere om ATM Malware
Hvordan fungerer ATMZombie?
En af metoderne anvendt af ATMZombie er kendt som proxy-ændring og bruges i vid udstrækning til inspektion af HTTP-pakker. Hovedsagelig, proxyændringer involverer ændring af browserens proxy-konfigurationer og beslaglæggelse af trafikken mellem klienten og serveren. I dette tilfælde, proxyændring fungerer ligesom en mand-i-midten-type angreb.
Mere om Banking botnet
Angribere fandt også en måde at streame bankoplysninger på og dermed bryde HTTPS-trafik ved at udstede deres eget certifikat, indlejret i den trojanske dropper og implementeret i rodcertificeringsmyndigheden (CA) liste på offerets computer.
Faktisk, proxyændring er ikke en revolutionerende teknik i malwareangreb. Som allerede nævnt, proxyændring handler om at ændre browserens proxy-konfigurationsfiler og erstatte browserens standard proxy-auto-konfigurationsfiler (eller PAC-filer).
I tilfælde af ATMZombie, de ondsindede PAC-filer kanaliserer browserens trafik gennem angriberens mellemliggende node.
Forskere beskriver den næste fase af angrebet som et trin i manuel tilstand fordi det kun er begrænset til israelske banker. Dette skyldes en lokal tjeneste, der gør det muligt for bankkontoejeren at overføre penge til andre uden bankkonti eller kreditkort.
Forskere mener, at angribere er lokale
ATMZombies operatører bruger stjålne bankoplysninger til at logge ind på ofrenes konti og sende små betalinger til deres såkaldte "pengemule".. Malwareoperatørerne bruger SMS-transaktionstjenesten, der kun anvendes af israelske banker.
Mere om At stjæle bankoplysninger
Ifølge Kaspersky, flere israelske banker og hundredvis af mennesker er blevet angrebet af trojaneren. Den eneste gode nyhed her er, at metoden, der bruges af ATMZombies skabere, ikke tillader dem at trække store beløb ud. Der er ikke en betaling større end $750.
Når man tænker på, at ATMZombies angreb er ret specifikke for det israelske banksystem, det er let at antage, at de kriminelle også er lokale. Endvidere, ansættelsen af pengeautomater til pengeautomater illustrerer, at den kriminelle gruppe ikke opererer på internationalt plan. Cyberkriminalitetsgrupper, der arbejder internationalt, ville ikke bruge penge muldyr.