Alicia es el nombre de la última familia de malware ATM que ha sido descubierto por investigadores de TrendMicro. el malware Alice ATM es un poco diferente de otras piezas de malware en cajeros automáticos - no está controlado a través del teclado numérico de los cajeros automáticos y no tienen características Infostealer. El único propósito de Alice es retirar dinero de cajeros automáticos.
El malware fue descubierto en noviembre de este año. Los investigadores recogieron una lista de hashes y los archivos correspondientes a los valores hash se obtuvieron de VirusTotal para un análisis detallado. Los investigadores pensaron que uno de los binarios pertenecían a una nueva variante del malware Padpin ATM. Un análisis posterior inversa, y se estimó que el binario beloned a una marca nueva familia.
Relacionado: Millones robados a través de cajeros automáticos malware manipulado para hacer que las máquinas gota Efectivo
Alice ATM malware: Detalles Técnicos
Ante todo, por qué Alicia? El nombre se deriva de la información de versión incrustada en el binario malicioso.
Además de su nombre, hay otros detalles curiosos sobre Alice. Según lo explicado por los investigadores, el malware es muy característica-magra y sólo incluye la funcionalidad básica necesaria para vaciar la caja fuerte del dinero del cajero automático dirigido. Alice está diseñado para conectarse a la periférica CurrencyDispenser1 pero no está diseñado para utilizar teclado de PIN del cajero automático. Una explicación lógica es que los ciberdelincuentes quieren abrir físicamente el cajero automático para infectar a través de USB o CD-ROM. Una vez que esto se ha reducido, un teclado estaría conectado a la placa base del cajero automático para operar el malware a través de él.
Otro escenario posible es la apertura de un escritorio remoto para controlar el menú a través de la red, pero nunca vio a Alice TrendMicro hacer esto.
La existencia de un código PIN antes de la dispensación de dinero sugiere que Alice se utiliza sólo para los ataques en persona. Tampoco lo hace Alice tiene un elaborado mecanismo de instalar o desinstalar-que funciona con sólo ejecutar el archivo ejecutable en el entorno apropiado.
Por otra parte, Alice comparte algunas similitudes con otra familias de malware en cajeros automáticos, tales como la autenticación de usuario. mulas de dinero se les da el PIN real que se necesita para la operación. El primer comando que entren gotas del script de limpieza, mientras introduce el código PIN específico del equipo les permite acceder al panel de operador para la dispensación de dinero, TrendMicro explicado.
Este código de acceso cambia entre muestras para evitar mulas de compartir el código y sin pasar por la banda criminal, hacer un seguimiento de las mulas de dinero individuales, o ambos. En nuestras muestras el código de acceso es solamente 4 dígitos de longitud, pero esto se puede cambiar fácilmente. Los intentos de ataque de fuerza bruta la contraseña el tiempo puede causar el malware darse de baja una vez que se alcanza el límite de entrada de PIN.
Relacionado: DiamondFox Botnet Roba Información Financiera
Alice diseñado para ejecutarse en XFS Medio Ambiente
Los investigadores también creen que Alicia fue diseñado para ejecutarse en hardware de cualquier fabricante configurado para usar la Financial Services extendido middleware Microsoft conocido como XFS. Alice sólo busca un entorno XFS. Adicionalmente, el malware utiliza sólo está disponible comercialmente envasados como VMProtect. TrendMicro encontró GreenDispenser lleno de Themida, y Ploutus lleno de Phoenix Protector, entre otros. El uso de embalaje hace que sea difícil para el análisis y la ingeniería inversa para ser llevado a cabo. El malware ha dependido de estos métodos para siempre, con la mayoría de malware utilizando los envasadores de costumbre-construido modernos.
De hecho, es curioso que El malware ATM se necesita tanto tiempo para abrazar el embalaje y la ofuscación. Una razón puede ser que el malware ATM era más de una categoría de nicho operado por sólo unos pocos grupos criminales. Desafortunadamente, el malware ATM está cada vez más habituales, lo que significa que sus autores continuarán desarrollando su trabajo.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: