Huis > Cyber ​​Nieuws > Alice in het ATM-malwareland
CYBER NEWS

Alice in de ATM-Malware Land

Alice is de naam van de laatste ATM malware familie dat is ontdekt door onderzoekers van TrendMicro. Alice ATM malware is een beetje anders dan andere ATM malware stukken - het is niet geregeld via het numerieke pad van geldautomaten en het hoeft niet infostealer features. Alice's enige doel is om contant geld uit geldautomaten.

De malware werd ontdekt in november van dit jaar. Onderzoekers verzamelde een lijst van hashes en de bestanden die overeenkomen met de hashes werden verkregen van VirusTotal voor een gedetailleerde analyse. Onderzoekers dacht eerst dat een van de binaries behoorde tot een nieuwe variant van de Padpin ATM malware. Één achteruit analyse later, en werd geschat dat de binaire beloned om een ​​nieuwe familie.

Verwant: Miljoenen Gestolen via ATM Malware opgetuigd te maken Machines Drop Cash

Alice ATM Malware: Technische Details

Allereerst, waarom Alice? De naam is afgeleid van de versie-informatie ingebed in het kwaadaardige binaire.

Naast zijn naam, er zijn ook andere merkwaardige details over Alice. Zoals door onderzoekers, de malware is zeer feature-mager en bevat alleen de basisfunctionaliteit die nodig zijn om het veilig van de beoogde ATM geld te legen. Alice is ontworpen om verbinding te maken met de CurrencyDispenser1 perifere, maar het is niet ontworpen om de ATM PIN pad gebruiken. Een logische verklaring is dat cybercriminelen willen de ATM fysiek te openen om het te infecteren via USB of cd-rom. Zodra dit is down, een toetsenbord zou worden aangesloten op het moederbord van de ATM's om de malware te bedienen door middel van deze.

Een ander mogelijk scenario is het openen van een remote desktop om het menu te bedienen via het netwerk, maar TrendMicro nooit zag Alice dit te doen.

Het bestaan ​​van een PIN-code vóór geld afgifte suggereert dat Alice alleen wordt gebruikt voor aanvallen in persoon. Evenmin Alice hebben een uitgebreide installeren of verwijderen mechanisme-het werkt door alleen het uitvoeren van de executable in de juiste omgeving.

Anderzijds, Alice deelt een aantal overeenkomsten met andere ATM malware families, zoals de authenticatie van gebruikers. Money mules krijgen de werkelijke PIN-code die nodig is voor de werking. De eerste opdracht ze in laat de cleanup script, tijdens het invoeren van de machine-specifieke PIN-code waarmee ze toegang krijgen tot het bedieningspaneel voor uw geld afgeven, TrendMicro toegelicht.

Deze toegangscode verandert tussen de monsters te voorkomen dat muilezels van het delen van de code en het omzeilen van de criminele bende, voor het bijhouden van de individuele money mules te houden, of allebei. In onze steekproeven de toegangscode is slechts 4 cijfers lang, maar dit kan gemakkelijk worden veranderd. Pogingen om brute-force de toegangscode zal uiteindelijk leiden tot de malware zichzelf te beëindigen zodra de PIN-ingang limiet is bereikt.

Verwant: DiamondFox Botnet Steelt Financiële Informatie

Alice ontworpen om op XFS Milieu

Onderzoekers geloven ook dat Alice is ontworpen om te draaien op hardware elke leverancier geconfigureerd om de Microsoft Extended Financial Services middleware bekend als XFS gebruiken. Alice zoekt alleen voor een XFS milieu. Bovendien, de malware gebruikt alleen in de handel verkrijgbaar verpakt als vmProtect. TrendMicro gevonden GreenDispenser vol met Themida, en Ploutus vol met Phoenix Protector, onder andere. Het gebruik van de verpakking maakt het moeilijk voor analyse en reverse engineering worden uitgevoerd. Malware is een beroep op deze methoden forever, met de meeste moderne malware met behulp van custom-built packers.

Het is inderdaad merkwaardig dat ATM malware nodig zodat veel tijd om te verpakken en verwarring te omarmen. Een reden kan zijn dat ATM malware was meer een niche categorie bediend door slechts een paar criminele groepen. Helaas, ATM malware wordt steeds meer mainstream, Dit betekent dat de auteurs zullen hun werk te ontwikkelen.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens