Especialistas em segurança identificaram uma nova onda de ataque com o vírus ATMii ATM que se espalhou pelo mundo. O malware passou por uma análise minuciosa por especialistas e está sendo rapidamente distribuído por criminosos em escala global.
Rota de infecção de vírus ATMii ATM
Os especialistas em segurança conseguiram realizar uma análise de segurança completa do vírus ATMii ATM. É composto por dois componentes:
- Módulo Injetor - Um arquivo executável chamado exe.exe que é responsável por iniciar o mecanismo de vírus principal.
- Virus Engine - Esta é a parte principal do vírus ATMii ATM que é usado para detectar a infecção e executar a sequência de ataque programada.
A infecção do vírus começa com a execução do módulo injetor pelas vítimas. No momento, nenhuma informação detalhada está disponível sobre as táticas de distribuição, no entanto, existem várias vias de intrusão possíveis.
Um deles depende de um infecção através da rede interna. Isso se baseia no comprometimento de vulnerabilidades de outros hosts encontrados nos hosts internos. Táticas populares são usadas, como mensagens de e-mail de spam que usam táticas de engenharia social para fazer com que os alvos se infectem. Outra opção é usar anúncios da web, Trojans ou plug-ins de navegador maliciosos (também conhecidos como sequestradores ou redirecionamentos) que têm o vírus ATMii ATM como a carga útil principal. A outra forma de infectar as máquinas ATM com o vírus ATMii é realizar um ataque físico nelas.
O injetor em si é escrito na linguagem de programação Visual C, o que significa que é compatível com todas as versões contemporâneas do Microsoft Windows. Quando é iniciado, começa a processar uma sequência de comandos conforme definido pelas instruções do hacker. O componente suporta vários parâmetros descobertos pelos pesquisadores de segurança:
- carga - É usado para injetar uma biblioteca maliciosa (dll.dll) no atmapp.exe processo. O comando instrui o injetor a pesquisar o processo dado e chamar o principal.
- cmd - Este comando cria e / ou atualiza o arquivo de configuração chamado c.este. É usado para configurar a DLL injetada. As amostras coletadas atualizam-se a cada vez que o arquivo executável é executado com este argumento.
- aproveitar - Esta é a abreviação de “dispensar” uma determinada quantidade de moeda pelas máquinas ATM.
- O - Instrui o vírus ATMii ATM a excluir o arquivo de configuração.
O vírus ATM é direcionado especificamente para computadores Microsoft Windows, já que uma grande parte das máquinas ainda funciona em versões anteriores ao XP.
Capacidades de vírus ATMii ATM
O módulo de injeção carrega uma biblioteca dinâmica e substitui uma função importante por um invólucro que inclui uma adição maliciosa separada. A função primária do vírus ATMii ATM parece ser a infecção e configuração incorreta de um processo especial que gerencia as máquinas - o proprietário atmapp.exe Arquivo. A arquitetura da sequência controlada pelo hacker deve seguir a arquitetura baseada em serviço e reconfigurar as máquinas ATM de acordo com os criminosos.
Assim que o injetor tiver chamado com sucesso o arquivo de vírus principal, ele extrairá as informações de hardware. Isso é feito emitindo um segundo subconjunto de comandos, o primeiro é chamado “Varredura” que é chamado automaticamente assim que a biblioteca DLL é injetada no processo de destino.
Próximo, a “informações” comando é usado para extrair informações sobre os cassetes disponíveis e seus conteúdos. Uma vez que os hackers sabem a quantidade exata de dinheiro que está atualmente mantida nas máquinas, eles podem usar o “aproveitar” (abreviatura de “dispensar”) para coletar fisicamente o dinheiro. Estão disponíveis duas opções de parâmetros que podem ser ajustados para uma configuração exata - moeda e montante. O tipo de moeda deve conter pelo menos um dos códigos de país de três letras implementados nos caixas eletrônicos. o “a” o comando de comando pode ser usado pelos hackers para excluir o c.este arquivo de configuração que pode ser usado para ocultar a sequência de administradores ou analistas de segurança.
Consequências de uma infecção por vírus ATMii ATM
Como resultado da onda de ataque global, o vírus ATMii ATM é capaz de infectar máquinas em todo o mundo. Os criminosos de computador podem usar o malware para comprometer as máquinas em sua área local e retirar rapidamente grandes quantias de dinheiro sem intervenção física real. Isso pode ser fatal quando as máquinas contêm grandes quantias de dinheiro e não estão devidamente protegidas pela equipe do banco.
Dependendo das políticas de segurança e das verificações regulares realizadas, o vírus ATMii ATM pode não ser imediatamente detectado e removido, o que pode levar a muitos crimes perpetrados pelos criminosos. No momento, nenhuma informação está disponível sobre suas identidades ou localização inicial de propagação. Recomendamos que todos os computadores empreguem uma solução anti-spyware avançada e ao mesmo tempo fácil de usar. É adequado para empresas e usuários e é capaz de remover efetivamente vestígios de malware com apenas alguns cliques do mouse. Ele também garante proteção contra todos os tipos de ameaças.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: