Otkriven GreenDispenser, novi malver koji krade novac sa bankomata

Opisi virusa, 28.09.2015, 01:00 AM

Otkriven GreenDispenser, novi malver koji krade novac sa bankomata

Istraživači iz firme Proofpoint otkrili su novi malver koji inficira bankomate i omogućava kriminalcima da izvuku gotovinu na komandu.

Program je nazvan GreenDispenser i otkriven je u Meksiku. Međutim, samo je pitanje vremena kada će slične napade izvesti sajber kriminalci u drugim delovima sveta, upozoravaju istraživači Proofpointa.

GreenDispenser nije prvi maliciozni program koji inficira bankomate. U oktobru 2013. istraživači Symanteca su upozorili na backdoor nazvan Ploutus koji može da inficira bankomate kada se novi boot disk ubaci u njihov CD-ROM.

Prva verzija Ploutusa omogućavala je kriminalcima da izvuku novac iz bankomata uz pomoć posebnih komandi unetih preko PIN ili eksterno povezanih tastatura. Druga verzija ovog malvera koja je otkrivena u martu prošle godine, imala je mogućnost da šalje tekstualne poruke bankomatu da bi kriminalci mogli da izvuku novac.

Kao i GreenDispenser, i Ploutus je prvi put otkriven u Meksiku, ali druga verzija ovog malvera imala je englesku lokalizaciju, što je ukazivalo da su kriminalci planirali napade i u drugim zemljama.

Ideja je prihvaćena i od strane drugih kriminalaca, pa su tako istraživači iz Kaspersky Laba u oktobru prošle godine upozorili na maliciozni program nazvan Tyupkin ili Padpin koji je korišćen za infekciju više od 50 bankomata koji pripadaju bankama u istočnoevropskim zemljama.

Ranije ovog meseca, istraživači iz kompanije FireEye otkrili su još jedan malver za bankomate, koji je nazvan Suceful, i čija je primarna namena da "zarobi" kartice klijenata banaka u bankomatima i da ih zatim “pušta” kada za to dobije komandu napadača.

Svi ovi incidenti, kao i pojava još jednog novog malvera koji cilja bankomate ukazuju da su napadi na bankomate širom sveta sve učestaliji, i da je jedan od razloga i sve veća upotreba kartica sa čipovima koji otežavaju kopiranje kartica.

Kao i drugi ATM malveri, i GreenDispenser verovatno zahteva da napadač ima fizički pristup bankomatu, što znači da je potrebno ili kompromitovati fizičku bezbednost bankomata ili da je kriminacima neophodna pomoć insajdera.

Kada se instalira, malver se povezuje sa XFS (eXtensions for Financial Services) middlewareom koji je implementiran na mnogim bankomatima sa Windows platformom. XFS omogućava interakciju između softvera i perifernih uređaja bankomata, kao što je PIN pad ili otvor za izbacivanje novca.

Kada je GreenDispenser aktivan, ekran bankomata će prikazati poruku da trenutno bankomat nije u funkciji. I dok regularni klijenti banke neće moći da koriste bankomat, kriminalci mogu zaobići ovu grešku ukucavajući PIN koji je hardkodovan u malveru.

Zanimljivo je da GreenDispenser koristi neku vrstu dvofaktorne autentifikacije. Nakon unošenja hardkodovanog PIN koda, bankomat će prikazati QR kod, koji kriminalci verovatno skeniraju mobilnom aplikacijom da bi dobili drugi, dinamički generisani PIN.

Drugi PIN otključava meni za interakciju na bankomatu koji daje napadačima kontrolu nad bankomatom. Druga opcija na meniju omogućava kriminacima da deinstaliraju malver i to na taj način da osigurava brisanje i otežava forenzičkim timovima da kasnije dođu do obrisanih informacija.

Istraživači Proofpointa kažu da je ovo “praskozorje” nove kriminalne industrije koja cilja bankomate i da ćemo tek videti nove malvere ove vrste. Oni preporučuju bankama da preispitaju postojeće mere zaštite bankomata i da razmotre primenu modernih zaštitnih mera kako bi se bankomati i klijenti zaštitili od ovakvih pretnji.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje