Un nou program malware care extrage numerar infectează ATM-urile

Programul malware GreenDispenser afișează o eroare pe ATM-urile infectate, astfel încât numai infractorii le pot folosi.

Cercetătorii din securitate au descoperit un nou program malware care infecteaza bancomatele (ATM-urile) și permite atacatorilor să extragă numerar la comandă scrie csoonline.com.

Programul este numit GreenDispenser și a fost detectat în Mexic. Cu toate acestea, este doar o chestiune de timp până când atacuri similare sunt adoptate de către infractorii cibernetici din alte țări, au declarat cercetătorii de la firma de securitate Proofpoint într-o postare pe blog.

GreenDispenser nu este primul program malware care vizează ATM-uri. În octombrie 2013, cercetatorii de securitate de la Symantec au avertizat cu privire la un backdoor numit Ploutus, care ar putea infecta ATM-uri atunci când un nou disc de boot este introdus în unitățile lor de CD-ROM.

Prima versiune a lui Ploutus permitea infractorilor să extragă bani de la ATM-uri, prin emiterea de comenzi speciale, prin tastatura pentru PIN sau printr-o tastatură atașată extern. O a doua versiune, găsită în martie 2014, a adăugat opțiunea de a trimite un mesaj text la ATM pentru a scoate bani.

La fel ca GreenDispenser, Ploutus a fost inițial găsit în Mexic, dar a doua versiunea avut localizare în limba engleză, sugerând că oamenii care l-au creat intenționau să vizeze și alte țări.

Ideea a prins. În octombrie 2014, cercetatorii de la Kaspersky Lab au avertizat cu privire la un program malware numit Tyupkin sau Padpin care a fost folosit pentru a infecta peste 50 de ATM-uri aparținând instituțiilor financiare din Europa de Est.

La începutul acestei luni, cercetatorii de la FireEye descoperit încă un alt malware pentru ATM, pe care au numit Suceful, al cărei scop principal este de a bloca cardurile oamenilor în interiorul ATM-ului și apoi le elibera infractorilor la comanda.

Toate aceste incidente și noul program GreenDispenser sugerează o accelerare a atacurilor împotriva ATM-urilor din întreaga lume, eventual din cauza adoptării crescute de carduri pe baza de cip activ care fac procesul de clonarea al cardurilor mai greu.

Ca marea majoritate a programelor malware pentru ATM-uri, GreenDispenser probabil necesită acces fizic bancomat ca să fie instalat, ceea ce sugerează fie un compromis de securitate fizică al ATM-ului sau ajutor din interior, au spus cercetatorii Proofpoint.

Odată instalat, acesta se conectează la XFS(eXtensions for Financial Services), care este implementat pe mai multe ATM-uri care folosesc Windows. Această platformă permite interacțiunea dintre software și dispozitive periferice ale bancomatului, cum ar fi tastatura pentru PIN sau fanta prin care ies banii.

Când GreenDispenser este activ, ecranul aparatului va afișa o eroare care spune: “We regret this ATM is temporary out of service.” În timp ce clienții obișnuiți nu vor putea să-l folosească, infractorii pot ocoli eroarea prin tastarea unui cod PIN specific care este codat în programul malware.

Interesant este că GreenDispenser folosește un anumit tip de autentificare pe două nivele. După ce se introduce PIN, ATM-ul va afișa un cod QR, pe care, probabil, infractorii îl vor scana cu o aplicație mobilă pentru a obține un al doilea cod PIN, generat dinamic.

Cel de-al doilea PIN deblochează un meniu de interacțiune pe ATM, care oferă atacatorilor controlul asupra distribuitorului de numerar. O altă opțiune din meniu permite infractorilor să dezinstaleze programul malware într-un mod care șterge și face greu pentru echipele de investigații să-l recupereze mai târziu în siguranță.

„Noi credem ca vedem zorii unei noi industrii a furtului care vizează ATM-urile”, au spus cercetatorii Proofpoint. ”Cu scopul de a fi cu un pas înaintea atacatorilor entitățile financiare ar trebui să reexamineze strategia de securitate moștenită existente și să ia în considerare implementarea de măsuri moderne de securitate pentru a contracara aceste amenințări.”