Video: WinPot V3 - Malware ATM (November 2024)
Cybercriminelen hebben geldautomaten in Rusland, Europa, de Verenigde Staten, India en China besmet met malware om contant geld in de machines te legen, zeiden onderzoekers van Kaspersky Lab deze week.
Aanvallers ontgrendelen de geldautomaat, mogelijk met een standaard hoofdsleutel, en gebruiken een opstartbare CD om de machiene te infecteren met de Tyupkin-malware, zeiden onderzoekers van Kaspersky Lab dinsdag in een bericht op SecureList. De malware is ontworpen om op zondag en maandag midden in de nacht opdrachten te accepteren en de rest van de week stil te zijn, waardoor het moeilijk te detecteren is.
Malware's Path
Zodra de malware in de geldautomaat is geladen, kunnen aanvallers zien hoeveel geld er nog in de cassettes in de machine zit. De aanvaller moet fysiek voor de geldautomaat staan om een speciaal gegenereerde zescijferige pincode in te voeren die door de malware is gegenereerd om geld op te nemen. Ze kunnen maximaal 40 rekeningen tegelijkertijd aannemen zonder een pinautomaat te hoeven vegen of accountgegevens in te voeren, zei Kaspersky Lab. Ongeveer 50 machines zijn op deze manier geïnfecteerd, volgens het rapport, dat deel uitmaakte van een gezamenlijk onderzoek met Interpol.
"Een unieke zescijferige combinatiesleutel op basis van willekeurige getallen wordt nieuw gegenereerd voor elke sessie. Dit zorgt ervoor dat niemand buiten de bende per ongeluk kan profiteren van de fraude. Dan ontvangt de kwaadwillende operator telefonische instructies van een ander lid van de bende die weet het algoritme en kan een sessiesleutel genereren op basis van het getoonde nummer. Dit zorgt ervoor dat de muilezels die het geld verzamelen niet proberen het alleen te doen, "volgens de blogpost.
Interessant is dat als de verkeerde sleutel wordt ingevoerd, de malware het hele netwerk uitschakelt. Onderzoekers van Kaspersky wisten niet zeker waarom het netwerk was uitgeschakeld. Het zou een manier kunnen zijn om externe onderzoekers uit te stellen van het analyseren van de malware.
Kaspersky Lab heeft de fabrikant van het aangevallen ATM-model niet geïdentificeerd en heeft alleen gezegd dat op de machines 32-bits versies van het Windows-besturingssysteem werden uitgevoerd. Beveiligingsexperts hebben gewaarschuwd dat geldautomaten gevoelig waren voor aanvallen, omdat veel van hen Windows XP gebruiken en Microsoft het oude besturingssysteem niet langer ondersteunt. De malware heeft ook McAfee Solidcore uitgeschakeld, dat controle op wijzigingsbeheer, configuratiebeheer, PCI-compliance en systeemvergrendeling biedt, geïnstalleerd op de machines.
Geldautomaten in gevaar
In de afgelopen paar jaar hebben we een grote toename waargenomen in ATM-aanvallen met skimming-apparaten en kwaadaardige software, "schreef Kaspersky Lab. Skimmers zijn hardware-apparaten die criminelen aan de kaartlezers op de machines hechten om de kaartinformatie van de magneetstrip te lezen. Zodra ze de kaartinformatie hebben, kunnen ze gekloonde kaarten en lege bankrekeningen maken.Mensen zijn zich meer bewust van de risico's van ATM-skimmers en zijn voorzichtiger, dus cybercriminelen moesten hun tactiek veranderen.
Nu zien we de natuurlijke evolutie van deze dreiging met cybercriminelen die hogerop komen in de keten en zich rechtstreeks richten op financiële instellingen, "zei Kaspersky Lab. Financiële instellingen moeten de fysieke beveiliging van de machines verbeteren en de geldautomaten upgraden naar nieuwere en meer veilige besturingssystemen, zei het bedrijf.
