WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc GreenDispenser rút tiền từ máy ATM
Một loại mã độc mới đang lây nhiễm các máy ATM ở Mexico (đến thời điểm hiện tại), cho phép tin tặc nhập hai mã PIN đặc biệt vào các máy ATM và rút tiền trong đó.
Các nhà nghiên cứu từ Proofpoint đã tìm ra và phân tích mã độc ATM này có những điểm tương đồng với mã độc Padpin ATM được phát hiện vào tháng 10/2014 chủ yếu ở Nga và Đông Âu.
Mã độc mới này, GreenDispenser có hai tính năng làm cho nó rất khó phát hiện, và cho phép nó tự tắt sau một thời gian nhất định.
Cần có truy cập vật lý đến ATM để lây nhiễm
Theo Proofpoint, lây nhiễm đòi hỏi phải có truy cập vật lý vào máy ATM. Có một cách đơn giản để nhận ra máy ATM bị lây nhiễm, đó là tin nhắn giả bằng tiếng Tây Ban Nha "Temporalmente fuera de servicio", nghĩa là "Dịch vụ tạm thời ngừng hoạt động".
Sau khi cài đặt, giống như SUCEFUL, mã độc ATM mới được phát hiện gần đây, GreenDispenser sử dụng middleware XFS cho phép tin tặc tương tác với mã độc từ PIN pad của ATM.
Điều này rất quan trọng vì mã độc được thiết kế để rút sạch tiền của ATM theo lệnh chỉ khi tin tặc yêu cầu điều đó sau khi tự xác thực trên ATM.
Tin tặc sử dụng hai mã PIN để tự xác thực
Việc xác thực được thực hiện bằng cách gõ mã PIN đầu tiên, được mã hóa trong mã độc, và sau đó nhập mã PIN thứ hai, mà các nhà nghiên cứu Proofpoint cho là có được từ nhãn mã vạch gắn trên mỗi máy ATM.
Ngoài ra, mã độc còn đi kèm với chức năng xóa, mà kẻ tấn công có thể kích hoạt để xóa dấu vết của mình sau khi đã rút cạn tiền của ATM.
Trong trường hợp truy cập vào ATM không thể đạt được vì nhiều lý do khác nhau, mã độc đi kèm với một biện pháp bảo vệ thứ cấp đã được mã hóa trong mã nguồn.
Về cơ bản, mỗi lần khởi động GreenDispenser sẽ kiểm tra năm và tháng, và nếu những giá trị này sau giá trị mã hóa cứng của nó, mã độc sẽ không thực thi.
Điều này cho phép mã độc ẩn thân cho đến khi tin tặc cập nhật phiên bản mới hơn, hoặc xóa đí để che dấu vết.
Các nhà nghiên cứu từ Proofpoint đã tìm ra và phân tích mã độc ATM này có những điểm tương đồng với mã độc Padpin ATM được phát hiện vào tháng 10/2014 chủ yếu ở Nga và Đông Âu.
Mã độc mới này, GreenDispenser có hai tính năng làm cho nó rất khó phát hiện, và cho phép nó tự tắt sau một thời gian nhất định.
Cần có truy cập vật lý đến ATM để lây nhiễm
Theo Proofpoint, lây nhiễm đòi hỏi phải có truy cập vật lý vào máy ATM. Có một cách đơn giản để nhận ra máy ATM bị lây nhiễm, đó là tin nhắn giả bằng tiếng Tây Ban Nha "Temporalmente fuera de servicio", nghĩa là "Dịch vụ tạm thời ngừng hoạt động".
Sau khi cài đặt, giống như SUCEFUL, mã độc ATM mới được phát hiện gần đây, GreenDispenser sử dụng middleware XFS cho phép tin tặc tương tác với mã độc từ PIN pad của ATM.
Điều này rất quan trọng vì mã độc được thiết kế để rút sạch tiền của ATM theo lệnh chỉ khi tin tặc yêu cầu điều đó sau khi tự xác thực trên ATM.
Tin tặc sử dụng hai mã PIN để tự xác thực
Việc xác thực được thực hiện bằng cách gõ mã PIN đầu tiên, được mã hóa trong mã độc, và sau đó nhập mã PIN thứ hai, mà các nhà nghiên cứu Proofpoint cho là có được từ nhãn mã vạch gắn trên mỗi máy ATM.
Ngoài ra, mã độc còn đi kèm với chức năng xóa, mà kẻ tấn công có thể kích hoạt để xóa dấu vết của mình sau khi đã rút cạn tiền của ATM.
Trong trường hợp truy cập vào ATM không thể đạt được vì nhiều lý do khác nhau, mã độc đi kèm với một biện pháp bảo vệ thứ cấp đã được mã hóa trong mã nguồn.
Về cơ bản, mỗi lần khởi động GreenDispenser sẽ kiểm tra năm và tháng, và nếu những giá trị này sau giá trị mã hóa cứng của nó, mã độc sẽ không thực thi.
Điều này cho phép mã độc ẩn thân cho đến khi tin tặc cập nhật phiên bản mới hơn, hoặc xóa đí để che dấu vết.
Nguồn: Softpedia