アリス 最新の名前です ATMマルウェアファミリー トレンドマイクロの研究者によって発見されました. アリスATMマルウェア 他のATMマルウェアとは少し異なります。ATMのテンキーを介して制御されることはなく、情報スティーラー機能もありません。. アリスの唯一の目的は ATMをキャッシュアウトする.
マルウェアは今年11月に発見されました. 研究者はハッシュのリストを収集し、ハッシュに対応するファイルは詳細な分析のためにVirusTotalから取得されました. 研究者は、バイナリの1つがPadpinATMマルウェアの新しい亜種に属していると最初に考えました. 後で1つの逆分析, そして、バイナリは真新しい家族に帰属すると推定されました.
関連している: 機械に現金を落とすために装備されたATMマルウェアを介して何百万もの盗難
アリスATMマルウェア: 技術的な詳細
初めに, どうして アリス? この名前は、悪意のあるバイナリに埋め込まれているバージョン情報に由来しています。.
その名前に加えて, アリスについて他の奇妙な詳細があります. 研究者によって説明されたように, マルウェアは非常に機能が少なく、対象のATMのお金を安全に空にするために必要な基本機能のみが含まれています. アリスはCurrencyDispenser1周辺機器に接続するように設計されていますが、ATMのPINパッドを使用するようには設計されていません. 論理的な説明は、サイバー犯罪者がATMを物理的に開いて、USBまたはCD-ROMを介して感染させたいというものです。. これがダウンしたら, キーボードをATMのメインボードに接続して、マルウェアを操作します.
別の考えられるシナリオは、リモートデスクトップを開いて、ネットワーク経由でメニューを制御することです。, しかし、トレンドマイクロはアリスがこれを行うのを見たことがありません.
送金前のPINコードの存在は、アリスが対面攻撃にのみ使用されていることを示唆しています. アリスには、複雑なインストールまたはアンインストールメカニズムもありません。適切な環境で実行可能ファイルを実行するだけで機能します。.
一方で, アリスは他の人といくつかの類似点を共有しています ATMマルウェアファミリー, ユーザー認証など. マネーミュールには、操作に必要な実際のPINが与えられます. 彼らが最初に入力するコマンドは、クリーンアップスクリプトを削除します, マシン固有のPINコードを入力している間、彼らはお金を分配するために操作パネルにアクセスできます, トレンドマイクロ 説明.
このアクセスコードはサンプル間で変更され、ミュールがコードを共有して犯罪組織を迂回するのを防ぎます, 個々のマネーミュールを追跡する, または両方. 私たちのサンプルでは、パスコードは 4 長さの桁, しかし、これは簡単に変更できます. パスコードをブルートフォースしようとすると、PIN入力制限に達すると、マルウェアは最終的にマルウェアを終了させます。.
関連している: DiamondFoxボットネットが財務情報を盗む
XFS環境で実行するように設計されたAlice
研究者はまた、 アリス XFSと呼ばれるMicrosoftExtendedFinancialServicesミドルウェアを使用するように構成されたベンダーのハードウェアで実行するように設計されています. アリスはXFS環境のみを検索します. 加えて, マルウェアは、VMProtectのように市販されているパックのみを使用します. トレンドマイクロは、ThemidaがパックされたGreenDispenserを発見しました, とフェニックスプロテクターが詰め込まれたPloutus, とりわけ. パッキングを使用すると、分析やリバースエンジニアリングの実行が困難になります。. マルウェアはこれらの方法に永遠に依存してきました, カスタムビルドのパッカーを使用した最新のマルウェア.
それは確かに不思議です ATMマルウェア パッキングと難読化を受け入れるのに非常に多くの時間が必要でした. 理由の1つは、ATMマルウェアが少数の犯罪グループによって運営されているニッチなカテゴリであったことである可能性があります。. 不運にも, ATMマルウェアはますます主流になりつつあります, その作者が彼らの作品を開発し続けることを意味します.