Alice ist der Name der letzten ATM Malware-Familie dass wurde von den Forschern an Trend Micro entdeckt. Alice ATM Malware ist ein bisschen anders als andere ATM Malware Stücke - es ist nicht gesteuert über den Ziffernblock von Geldautomaten und es infostealer Funktionen enthält, die nicht. Alices einziger Zweck es ist zu Bargeld aus Geldautomaten.
Die Malware wurde im November dieses Jahres entdeckt. Forscher sammelten eine Liste von Hashes und die Dateien auf die Hashes entsprechen, wurden von Virustotal für eine detaillierte Analyse erhalten. Die Forscher dachten zuerst, dass eine der Binärdateien auf eine neue Variante des Padpin ATM Malware gehörte. Ein Reverse-Analyse später, und es wurde geschätzt, dass die binären zu einer brandneuen Familie beloned.
verbunden: Millionen über ATM Malware Rigged Gestohlene Make Machines Tropfen Bargeld
Alice ATM Malware: Technische Daten
Zunächst, Warum Alice? Der Name wurde von der Versionsinformationen abgeleitet in den bösartigen binären eingebettet.
Neben seinen Namen, es gibt noch andere merkwürdige Details über Alice. Wie von den Forschern erklärt, die Malware ist sehr feature-schlank und enthält nur die Grundfunktionen sicher der Ziel ATM zu leeren brauchte das Geld. Alice wurde entwickelt, um die CurrencyDispenser1 Peripheriegeräte anschließen können, aber es ist nicht für die ATM PIN-Pad zu verwenden,. Eine logische Erklärung ist, dass Cyber-Kriminelle die ATM zu infizieren sie über USB oder CD-ROM zu physisch öffnen möchten. Sobald dies ist nach unten, eine Tastatur würde auf dem Mainboard des ATM verbunden werden, um die Malware durch sie zu bedienen.
Ein weiteres mögliches Szenario ist das Öffnen einer Remote-Desktop das Menü über das Netzwerk zu steuern, aber Trend Micro nie gesehen Alice dies zu tun.
Die Existenz eines PIN-Codes vor dem Geldausgabe legt nahe, dass Alice nur für persönliche Angriffe verwendet wird,. Genauso wenig wie Alice haben eine aufwendige Installation oder Deinstallation Mechanismus-es funktioniert, indem lediglich die ausführbare Datei in der entsprechenden Umgebung ausgeführt wird.
Andererseits, Alice teilt einige Ähnlichkeiten mit anderen ATM Malware-Familien, wie beispielsweise die Benutzerauthentifizierung. Money Mules sind die eigentliche PIN gegeben, die für den Betrieb benötigt wird,. Der erste Befehl treten sie löscht die Cleanup-Skript, die maschinenspezifischen PIN-Code während der Eingabe lässt sie über das Bedienfeld für Geld zugreifen Abgabe, Trendmicro erklärt.
Dieser Zugangscode ändert sich zwischen den Proben Maultiere zu verhindern, dass der Code-Sharing und die kriminelle Bande unter Umgehung, Spur einzelner Money Mules zu halten, oder beides. nur in unseren Proben ist der Passcode 4 Ziffern lang, aber dies kann leicht geändert. Versuche, den Passcode Brute-Force wird schließlich die Malware verursachen selbst zu beenden, wenn die PIN-Eingabegrenze erreicht ist.
verbunden: DiamondFox Botnet Stiehlt Finanzinformationen
Alice Entwickelt auf XFS-Umgebung ausgeführt werden
Die Forscher glauben auch, dass Alice wurde entwickelt, um auf jedem Anbieter die Hardware ausführen konfiguriert, um die Microsoft Erweiterte Financial Services Middleware als XFS bekannt zu verwenden. Alice sucht nur nach einer XFS-Umgebung. Außerdem, nur die Malware nutzt im Handel erhältlich verpackt wie VMProtect. Trend Micro gefunden GreenDispenser verpackt mit Themida, und Ploutus verpackt mit Phoenix-Schutz, unter anderem. Die Verwendung der Verpackung macht es schwierig für die Analyse und Reverse-Engineering durchgeführt werden,. Malware wurde auf diese Methoden unter Berufung auf ewig, mit den meisten modernen Malware mit custom-built-Packer.
Es ist in der Tat merkwürdig, dass ATM Malware so viel Zeit zu umfassen Verpackung und Verschleierungs benötigt. Ein Grund dafür kann sein, dass ATM Malware eher eine Nische Kategorie war von nur wenigen kriminellen Gruppen betrieben. Leider, ATM Malware wird mehr zum Mainstream, was bedeutet, dass die Autoren ihre Arbeit entwickeln wird.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: