Itthon Securitywatch A bűnözők Tyupkin rosszindulatú szoftvereket használnak az ATM-ek ürítésére

A bűnözők Tyupkin rosszindulatú szoftvereket használnak az ATM-ek ürítésére

Videó: ATM Infector: Skimer malware in action (November 2024)

Videó: ATM Infector: Skimer malware in action (November 2024)
Anonim

A számítógépes bűnözők fertőzték meg az oroszországi, európaiak, az Egyesült Államok, India és Kína ATM-eit malware-kel, hogy kiürítsék a gépekben tárolt készpénzt - mondta a Kaspersky Lab kutatói ezen a héten.

A támadók kinyitják az ATM esetét, valószínűleg egy alapértelmezett főkulccsal, és indító CD-vel használják a Machien megfertőzését a Tyupkin malware-kel - mondta a Kaspersky Lab kutatói a SecureList kedden írt üzenetben. A rosszindulatú programokat úgy tervezték, hogy a parancsokat az éjszaka közepén, vasárnap és hétfőn fogadják el, és a hét hátralévő részén csendesítsék, ami megnehezíti az észlelést.

Malware útja

Miután a rosszindulatú szoftvert betöltötték az ATM-re, a támadók láthatják, mennyi pénz van még a gép kazettáiban. A támadónak fizikailag az ATM előtt kell lennie, hogy beírhasson egy speciálisan generált hat számjegyű PIN-kódot, amelyet a rosszindulatú program generált a pénz kivételéhez. Egyszerre akár 40 számlát is felvehet anélkül, hogy ATM-kártyát el kellene húznia, vagy bármilyen számlainformációt meg kellene adnia - mondta a Kaspersky Lab. Az Interpollal folytatott közös vizsgálat részét képező jelentés szerint körülbelül 50 gépet fertőztek meg ilyen módon.

"Minden munkamenethez frissen generálunk egy véletlenszerű számokon alapuló egyedi hat számjegyű kombinációs kulcsot. Ez biztosítja, hogy a banda tagjai nem véletlenül profitálhatnak a csalásból. Ezután a rosszindulatú operátor telefonon kap utasításokat a banda másik tagjától, aki ismeri az algoritmust, és a megjelenített szám alapján képes létrehozni egy munkamenet-kulcsot. Ez biztosítja, hogy a készpénzt gyűjtő öszvér nem próbálja meg egyedül elmenni ”- állítja a blogbejegyzés.

Érdekes, hogy ha rossz kulcsot ad meg, a rosszindulatú program letiltja az egész hálózatot. A Kaspersky kutatói nem voltak biztosak abban, hogy miért volt letiltva a hálózat. Ez lehet egy módja annak, hogy késleltessük a távoli nyomozókat a rosszindulatú programok elemzésétől.

A Kaspersky Lab nem azonosította a támadás alatt álló ATM-modell gyártóját, és csak azt mondta, hogy a gépek a Windows operációs rendszer 32 bites verzióit futtatják. A biztonsági szakértők figyelmeztették, hogy az ATM-ek hajlamosak a támadásokra, mivel sokuk Windows XP-t futtat, és a Microsoft már nem támogatja a régi operációs rendszert. A rosszindulatú program letiltotta a McAfee Solidcore-ot is, amely a gépeken telepített változáskezelési auditálást, konfiguráció-vezérlést, PCI-megfelelőséget és rendszer lezárást biztosít.

ATM-ek veszélyben vannak

Az elmúlt néhány évben észrevettük az ATM-támadások jelentős növekedését az áttörő eszközök és a rosszindulatú szoftverek felhasználásával "- írta a Kaspersky Lab. A szkimerek olyan hardver eszközök, amelyeket a bűnözők a gépek kártyaolvasóinak csatolnak, hogy a kártya adatait a mágneses csíkon keresztül leolvassák. Miután megszerezték a kártya adatait, készíthetnek klónozott kártyákat és üres bankszámlákat. Az emberek jobban tisztában vannak az ATM-készítők kockázataival és óvatosabbak, ezért a számítógépes bűnözőknek taktikát kellett megváltoztatniuk.

Most látjuk ennek a fenyegetésnek a természetes fejlődését, amikor a számítógépes bűnözők a láncon felfelé mozognak, és közvetlenül a pénzügyi intézményeket célozzák meg "- mondta a Kaspersky Lab. A pénzügyi intézményeknek javítaniuk kell a gépek fizikai biztonságát, valamint az ATM-eket újabbra és újabbra kell korszerűsíteni. biztonságos operációs rendszerek - mondta a cég.

A bűnözők Tyupkin rosszindulatú szoftvereket használnak az ATM-ek ürítésére