Otkriven GreenDispenser, novi malver koji krade novac sa bankomata

Opisi virusa, 28.09.2015, 01:00 AM

Otkriven GreenDispenser, novi malver koji krade novac sa bankomata

Istraživači iz firme Proofpoint otkrili su novi malver koji inficira bankomate i omogućava kriminalcima da izvuku gotovinu na komandu.

Program je nazvan GreenDispenser i otkriven je u Meksiku. Međutim, samo je pitanje vremena kada će slične napade izvesti sajber kriminalci u drugim delovima sveta, upozoravaju istraživači Proofpointa.

GreenDispenser nije prvi maliciozni program koji inficira bankomate. U oktobru 2013. istraživači Symanteca su upozorili na backdoor nazvan Ploutus koji može da inficira bankomate kada se novi boot disk ubaci u njihov CD-ROM.

Prva verzija Ploutusa omogućavala je kriminalcima da izvuku novac iz bankomata uz pomoć posebnih komandi unetih preko PIN ili eksterno povezanih tastatura. Druga verzija ovog malvera koja je otkrivena u martu prošle godine, imala je mogućnost da šalje tekstualne poruke bankomatu da bi kriminalci mogli da izvuku novac.

Kao i GreenDispenser, i Ploutus je prvi put otkriven u Meksiku, ali druga verzija ovog malvera imala je englesku lokalizaciju, što je ukazivalo da su kriminalci planirali napade i u drugim zemljama.

Ideja je prihvaćena i od strane drugih kriminalaca, pa su tako istraživači iz Kaspersky Laba u oktobru prošle godine upozorili na maliciozni program nazvan Tyupkin ili Padpin koji je korišćen za infekciju više od 50 bankomata koji pripadaju bankama u istočnoevropskim zemljama.

Ranije ovog meseca, istraživači iz kompanije FireEye otkrili su još jedan malver za bankomate, koji je nazvan Suceful, i čija je primarna namena da "zarobi" kartice klijenata banaka u bankomatima i da ih zatim “pušta” kada za to dobije komandu napadača.

Svi ovi incidenti, kao i pojava još jednog novog malvera koji cilja bankomate ukazuju da su napadi na bankomate širom sveta sve učestaliji, i da je jedan od razloga i sve veća upotreba kartica sa čipovima koji otežavaju kopiranje kartica.

Kao i drugi ATM malveri, i GreenDispenser verovatno zahteva da napadač ima fizički pristup bankomatu, što znači da je potrebno ili kompromitovati fizičku bezbednost bankomata ili da je kriminacima neophodna pomoć insajdera.

Kada se instalira, malver se povezuje sa XFS (eXtensions for Financial Services) middlewareom koji je implementiran na mnogim bankomatima sa Windows platformom. XFS omogućava interakciju između softvera i perifernih uređaja bankomata, kao što je PIN pad ili otvor za izbacivanje novca.

Kada je GreenDispenser aktivan, ekran bankomata će prikazati poruku da trenutno bankomat nije u funkciji. I dok regularni klijenti banke neće moći da koriste bankomat, kriminalci mogu zaobići ovu grešku ukucavajući PIN koji je hardkodovan u malveru.

Zanimljivo je da GreenDispenser koristi neku vrstu dvofaktorne autentifikacije. Nakon unošenja hardkodovanog PIN koda, bankomat će prikazati QR kod, koji kriminalci verovatno skeniraju mobilnom aplikacijom da bi dobili drugi, dinamički generisani PIN.

Drugi PIN otključava meni za interakciju na bankomatu koji daje napadačima kontrolu nad bankomatom. Druga opcija na meniju omogućava kriminacima da deinstaliraju malver i to na taj način da osigurava brisanje i otežava forenzičkim timovima da kasnije dođu do obrisanih informacija.

Istraživači Proofpointa kažu da je ovo “praskozorje” nove kriminalne industrije koja cilja bankomate i da ćemo tek videti nove malvere ove vrste. Oni preporučuju bankama da preispitaju postojeće mere zaštite bankomata i da razmotre primenu modernih zaštitnih mera kako bi se bankomati i klijenti zaštitili od ovakvih pretnji.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje