Alice è il nome del più recente Bancomat famiglia di malware che è stato scoperto dai ricercatori della TrendMicro. Alice bancomat di malware è un po 'diverso rispetto ad altri pezzi di malware ATM - non è controllato tramite il tastierino numerico del bancomat e non avere caratteristiche Infostealer. unico scopo di Alice è quello di incassare bancomat.
Il malware è stato scoperto nel novembre di quest'anno. I ricercatori hanno raccolto una lista di hash ei file corrispondenti ai hash sono stati ottenuti da VirusTotal per l'analisi dettagliata. I ricercatori primo pensiero che uno dei binari appartenevano a una nuova variante del malware Padpin bancomat. Una analisi inversa tardi, ed è stato stimato che il binario beloned di una nuova famiglia.
Correlata: Milioni rubati tramite ATM Malware attrezzata per rendere le macchine di goccia Cash
Alice bancomat Malware: Dettagli tecnici
Prima di tutto, perché Alice? Il nome deriva dal informazioni sulla versione incorporato nel binario dannoso.
Oltre al suo nome, ci sono altri dettagli curiosi su Alice. Come spiegato dai ricercatori, il malware è molto caratteristica-magra e include solo le funzionalità di base necessarie per svuotare in sicurezza del bancomat preso di mira il denaro. Alice è progettato per collegare alla periferica CurrencyDispenser1 ma non è progettato per utilizzare PIN pad del bancomat. Una spiegazione logica è che i criminali informatici vogliono aprire fisicamente il bancomat di infettare via USB o CD-ROM. Una volta che questo è giù, una tastiera sarebbe collegato alla scheda madre del ATM per operare il malware attraverso di essa.
Un altro scenario possibile è l'apertura di un desktop remoto per controllare il menù tramite la rete, ma non ha mai visto TrendMicro Alice fare questo.
L'esistenza di un codice PIN prima denaro erogazione suggerisce che Alice è utilizzato solo per attacchi a persona. Nemmeno Alice ha un elaborato meccanismo di installare o disinstallare-it funziona semplicemente eseguendo il file eseguibile in ambiente appropriato.
D'altronde, Alice condivide alcune somiglianze con altri famiglie di malware ATM, quali l'autenticazione dell'utente. money mule sono date il PIN attuale che è necessario per l'operazione. Il primo comando entrano scende lo script di pulizia, durante l'immissione del codice PIN specifiche della macchina permette loro di accedere al pannello di comando per l'erogazione di denaro, TrendMicro ha spiegato.
Questo codice di accesso cambia tra i campioni per evitare che i muli di condividere il codice e bypassando la banda criminale, per tenere traccia dei singoli money mule, o entrambi. Nei nostri campioni il codice di accesso è solo 4 cifre lunghe, ma questo può essere facilmente modificata. I tentativi di forza bruta il codice di accesso alla fine causare il malware per terminare stesso una volta che viene raggiunto il limite di immissione del PIN.
Correlata: DiamondFox Botnet ruba le informazioni finanziarie
Alice progettato per girare su XFS Ambiente
I ricercatori ritengono inoltre che Alice è stato progettato per girare su hardware di qualsiasi vendor configurato per utilizzare il middleware esteso Financial Services di Microsoft noto come XFS. Alice ricerca solo un ambiente XFS. In aggiunta, il malware utilizza solo commercialmente stipati come VMProtect. TrendMicro trovato GreenDispenser ricco di Themida, e Ploutus ricco di Phoenix Protector, tra gli altri. L'uso di imballaggio rende difficile per l'analisi e reverse engineering da effettuare. Il malware è stato affidamento su questi metodi per sempre, con la maggior parte dei moderni packer custom-built di malware utilizzando.
E 'davvero curioso che Bancomat il malware bisogno di tanto tempo per abbracciare imballaggio e offuscamento. Uno dei motivi potrebbe essere che ATM malware è stato più di una categoria di nicchia gestito da pochi gruppi criminali. Sfortunatamente, il malware bancomat sta diventando sempre più mainstream, il che significa che i suoi autori continueranno a sviluppare il loro lavoro.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: