Otkriven GreenDispenser, novi malver koji krade novac sa bankomata

Opisi virusa, 28.09.2015, 01:00 AM

Otkriven GreenDispenser, novi malver koji krade novac sa bankomata

Istraživači iz firme Proofpoint otkrili su novi malver koji inficira bankomate i omogućava kriminalcima da izvuku gotovinu na komandu.

Program je nazvan GreenDispenser i otkriven je u Meksiku. Međutim, samo je pitanje vremena kada će slične napade izvesti sajber kriminalci u drugim delovima sveta, upozoravaju istraživači Proofpointa.

GreenDispenser nije prvi maliciozni program koji inficira bankomate. U oktobru 2013. istraživači Symanteca su upozorili na backdoor nazvan Ploutus koji može da inficira bankomate kada se novi boot disk ubaci u njihov CD-ROM.

Prva verzija Ploutusa omogućavala je kriminalcima da izvuku novac iz bankomata uz pomoć posebnih komandi unetih preko PIN ili eksterno povezanih tastatura. Druga verzija ovog malvera koja je otkrivena u martu prošle godine, imala je mogućnost da šalje tekstualne poruke bankomatu da bi kriminalci mogli da izvuku novac.

Kao i GreenDispenser, i Ploutus je prvi put otkriven u Meksiku, ali druga verzija ovog malvera imala je englesku lokalizaciju, što je ukazivalo da su kriminalci planirali napade i u drugim zemljama.

Ideja je prihvaćena i od strane drugih kriminalaca, pa su tako istraživači iz Kaspersky Laba u oktobru prošle godine upozorili na maliciozni program nazvan Tyupkin ili Padpin koji je korišćen za infekciju više od 50 bankomata koji pripadaju bankama u istočnoevropskim zemljama.

Ranije ovog meseca, istraživači iz kompanije FireEye otkrili su još jedan malver za bankomate, koji je nazvan Suceful, i čija je primarna namena da "zarobi" kartice klijenata banaka u bankomatima i da ih zatim “pušta” kada za to dobije komandu napadača.

Svi ovi incidenti, kao i pojava još jednog novog malvera koji cilja bankomate ukazuju da su napadi na bankomate širom sveta sve učestaliji, i da je jedan od razloga i sve veća upotreba kartica sa čipovima koji otežavaju kopiranje kartica.

Kao i drugi ATM malveri, i GreenDispenser verovatno zahteva da napadač ima fizički pristup bankomatu, što znači da je potrebno ili kompromitovati fizičku bezbednost bankomata ili da je kriminacima neophodna pomoć insajdera.

Kada se instalira, malver se povezuje sa XFS (eXtensions for Financial Services) middlewareom koji je implementiran na mnogim bankomatima sa Windows platformom. XFS omogućava interakciju između softvera i perifernih uređaja bankomata, kao što je PIN pad ili otvor za izbacivanje novca.

Kada je GreenDispenser aktivan, ekran bankomata će prikazati poruku da trenutno bankomat nije u funkciji. I dok regularni klijenti banke neće moći da koriste bankomat, kriminalci mogu zaobići ovu grešku ukucavajući PIN koji je hardkodovan u malveru.

Zanimljivo je da GreenDispenser koristi neku vrstu dvofaktorne autentifikacije. Nakon unošenja hardkodovanog PIN koda, bankomat će prikazati QR kod, koji kriminalci verovatno skeniraju mobilnom aplikacijom da bi dobili drugi, dinamički generisani PIN.

Drugi PIN otključava meni za interakciju na bankomatu koji daje napadačima kontrolu nad bankomatom. Druga opcija na meniju omogućava kriminacima da deinstaliraju malver i to na taj način da osigurava brisanje i otežava forenzičkim timovima da kasnije dođu do obrisanih informacija.

Istraživači Proofpointa kažu da je ovo “praskozorje” nove kriminalne industrije koja cilja bankomate i da ćemo tek videti nove malvere ove vrste. Oni preporučuju bankama da preispitaju postojeće mere zaštite bankomata i da razmotre primenu modernih zaštitnih mera kako bi se bankomati i klijenti zaštitili od ovakvih pretnji.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje