Casa > cibernético Notícias > Alice no ATM Malware Land
CYBER NEWS

Alice no Malware Terra ATM

Alice é o nome da última Família de malware ATM descoberto por pesquisadores da TrendMicro. Malware do Alice ATM é um pouco diferente de outros tipos de malware de caixas eletrônicos - não é controlado pelo teclado numérico dos caixas eletrônicos e não possui recursos de vedação de informações. O único objetivo de Alice é sacar caixas eletrônicos.

O malware foi descoberto em novembro deste ano. Os pesquisadores coletaram uma lista de hashes e os arquivos correspondentes aos hashes foram obtidos no VirusTotal para análise detalhada. Os pesquisadores primeiro pensaram que um dos binários pertencia a uma nova variante do malware Padpin ATM. Uma análise reversa depois, e estimou-se que o binário era desprezado por uma nova família.

relacionado: Milhões roubados via ATM Malware manipuladas para fazer máquinas Gota dinheiro

Alice ATM Malware: Detalhes técnicos

Em primeiro lugar, porque Alice? O nome foi derivado das informações da versão incorporadas no binário malicioso.

Além do nome, existem outros detalhes curiosos sobre Alice. Como explicado pelos pesquisadores, o malware é muito pequeno em recursos e inclui apenas a funcionalidade básica necessária para esvaziar o dinheiro seguro do caixa eletrônico direcionado. Alice foi projetada para se conectar ao periférico CurrencyDispenser1, mas não foi projetada para usar o teclado PIN do caixa eletrônico. Uma explicação lógica é que os cibercriminosos querem abrir fisicamente o caixa eletrônico para infectá-lo via USB ou CD-ROM. Quando isso acabar, um teclado seria conectado à placa principal do caixa eletrônico para operar o malware através dele.

Outro cenário possível é abrir uma área de trabalho remota para controlar o menu via rede, mas o TrendMicro nunca viu Alice fazendo isso.

A existência de um código PIN antes da distribuição de dinheiro sugere que Alice é usada apenas para ataques pessoais. Alice também não possui um mecanismo elaborado de instalação ou desinstalação - ele funciona apenas executando o executável no ambiente apropriado.

Por outro lado, Alice compartilha algumas semelhanças com outras famílias de malware ATM, como a autenticação do usuário. As mulas do dinheiro recebem o PIN real necessário para a operação. O primeiro comando que eles inserem solta o script de limpeza, ao digitar o código PIN específico da máquina, eles podem acessar o painel do operador para distribuição de dinheiro, TrendMicro explicado.

Esse código de acesso muda entre as amostras para impedir que as mulas compartilhem o código e contornem a quadrilha criminosa, acompanhar as mulas de dinheiro individuais, ou ambos. Em nossas amostras, a senha é apenas 4 dígitos longos, mas isso pode ser facilmente alterado. Tentativas de forçar o código com força bruta acabarão fazendo com que o malware seja encerrado assim que o limite de entrada do PIN for atingido.

relacionado: DiamondFox Botnet rouba informações financeiras

Alice projetada para executar no ambiente XFS

Os pesquisadores também acreditam que Alice foi projetado para ser executado no hardware de qualquer fornecedor configurado para usar o middleware Microsoft Extended Financial Services, conhecido como XFS. Alice procura apenas um ambiente XFS. além do que, além do mais, o malware usa apenas pacotes comercialmente disponíveis, como o VMProtect. TrendMicro encontrou GreenDispenser embalado com Themida, e Ploutus embalado com Phoenix Protector, entre outros. O uso de gaxetas dificulta a realização de análises e engenharia reversa. O malware confia nesses métodos desde sempre, com o malware mais moderno usando empacotadores personalizados.

É realmente curioso que malwares ATM precisava de muito tempo para abraçar embalagem e ofuscação. Um motivo pode ser que o malware ATM era mais uma categoria de nicho operada por apenas alguns grupos criminosos. Infelizmente, O malware do ATM está se tornando mais popular, o que significa que seus autores continuarão a desenvolver seu trabalho.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo