Alice est le nom de la dernière ATM famille de logiciels malveillants qui a été découvert par des chercheurs de TrendMicro. malware Alice ATM est un peu différent que d'autres morceaux de logiciels malveillants ATM - il est pas contrôlé via le pavé numérique des distributeurs automatiques de billets et il ne dispose pas des fonctionnalités infostealer. seul but d'Alice est de encaisser les guichets automatiques.
Le logiciel malveillant a été découvert en Novembre de cette année. Les chercheurs ont recueilli une liste de hash et les fichiers correspondant aux hashes ont été obtenus à partir de VirusTotal pour une analyse détaillée. Les chercheurs pensaient que l'un des binaires appartenaient à une nouvelle variante du malware Padpin ATM premier. Une analyse inverse plus tard, et il a été estimé que le binaire beloned à une nouvelle famille de marque.
en relation: Des millions volés par ATM Malware Rigged à faire des machines Chute de trésorerie
Alice ATM Malware: Détails techniques
Tout d'abord, Pourquoi Alice? Le nom est dérivé de l'information de version intégrée dans le binaire malveillant.
Outre son nom, il y a d'autres détails curieux sur Alice. Comme cela est expliqué par les chercheurs, le malware est très long-maigre et ne comprend que les fonctionnalités de base nécessaires pour vider l'argent en toute sécurité de l'ATM ciblé. Alice est conçu pour se connecter au périphérique CurrencyDispenser1 mais il n'a pas été conçu pour utiliser le clavier NIP de l'ATM. Une explication logique est que les cybercriminels veulent ouvrir physiquement le guichet automatique pour infecter via USB ou CD-ROM. Une fois que cela est en baisse, un clavier serait relié à la carte mère de l'ATM pour faire fonctionner les logiciels malveillants à travers elle.
Un autre scénario possible est l'ouverture d'un bureau à distance pour contrôler le menu via le réseau, mais TrendMicro n'a jamais vu Alice faisant cela.
L'existence d'un code PIN avant l'argent distribution suggère que Alice est utilisé uniquement pour les attaques en personne. Ni le fait Alice ont un complexe d'installation ou d'un mécanisme-il désinstallation fonctionne simplement en exécutant le fichier exécutable dans l'environnement approprié.
D'autre part, Alice partage quelques similitudes avec d'autres familles de logiciels malveillants ATM, telles que l'authentification de l'utilisateur. mules d'argent sont donnés le code PIN réel qui est nécessaire pour l'opération. La première commande ils entrent tomber le script de nettoyage, en entrant le code PIN spécifique à la machine leur permet d'accéder au panneau de commande pour l'argent de distribution, TrendMicro expliqué.
Ce code d'accès change entre les échantillons afin d'éviter des mules de partager le code et en contournant le gang criminel, de garder une trace des mules individuelles, ou les deux. Dans nos échantillons, le code d'accès est seulement 4 chiffres longs, mais ceci peut être facilement changée. Les tentatives d'attaque frontale le mot de passe sera éventuellement provoquer le malware se terminer une fois la limite de saisie du code PIN est atteint.
en relation: DiamondFox Botnet vole de l'information financière
Alice conçu pour fonctionner sur XFS Environnement
Les chercheurs croient également que Alice a été conçu pour fonctionner sur le matériel de tout fournisseur configuré pour utiliser le Microsoft Extended middleware Services financiers connu comme XFS. Alice ne recherche que pour un environnement XFS. En outre, le malware utilise uniquement disponible dans le commerce emballé comme VMProtect. TrendMicro trouvé GreenDispenser emballé avec Themida, et Ploutus emballé avec Phoenix Protector, parmi d'autres. L'utilisation de l'emballage, il est difficile pour l'analyse et l'ingénierie inverse à effectuer. Malware a misé sur ces méthodes pour toujours, avec la plupart des emballeurs modernes construites sur mesure de logiciels malveillants en utilisant.
Il est en effet curieux que malware ATM nécessaire tant de temps pour embrasser l'emballage et l'obscurcissement. Une raison peut être que les logiciels malveillants ATM a été plus d'une catégorie de niche exploité par quelques groupes criminels. Malheureusement, malware ATM est en train de devenir plus grand public, ce qui signifie que ses auteurs continueront à développer leur travail.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: