ATMii Malware dapat benar-benar menguras ATM

Computer Security News

Kaspersky Lab peneliti telah menemukan sebuah malware rinci yang menargetkan mesin teller otomatis (ATM). Malware baru mampu menguras semua uang tersedia yang disimpan di lengannya.

Ancaman berbahaya disebut ATMii dan hal ini pertama kali melihat sekitar enam bulan yang lalu. Malware termasuk injector modul (exe.exe) dan modul harus disuntikkan (dll.dll), dan hacker membutuhkan akses langsung ke target ATM (baik melalui jaringan atau fisik) untuk menginstalnya.

Sementara menganalisis malware ATMii, para ahli menemukan bahwa injektor, terlindungi baris perintah aplikasi, ditulis dalam Visual C dengan timestamp palsu kompilasi empat tahun yang lalu. Ancaman termasuk dukungan untuk versi Windows yang lebih baru daripada Windows XP, yang merupakan platform yang paling ATM.

Injektor target proses perangkat lunak ATM berpemilik yang disebut atmapp.exe untuk menyuntikkan modul kedua ke dalamnya. Namun demikian, ternyata bahwa injektor melainkan ditulis dengan buruk karena tergantung pada sejumlah parameter dan menangkap exception jika parameter tidak diberikan.

Didukung parameter fitur /load, yang mencoba untuk menyuntikkan dll.dll ke atmapp.exe, / CMD, yang menciptakan atau update C:\ATM\c.ini file (yang digunakan oleh DLL disuntikkan untuk membaca perintah), dan /unload, yang mencoba untuk membongkar disuntikkan Perpustakaan dari atmapp.exe proses, sementara memulihkan keadaan.

Melalui perintah yang tersedia, malware dapat memindai CASH_UNIT XFS layanan, dapat mengeluarkan jumlah yang diinginkan tunai (mana “jumlah” dan “mata uang” digunakan sebagai parameter), mengambil informasi tentang ATM tunai kaset dan menulis ke log file dan menghapus C : \ATM\c.ini file.

Modul disuntikkan berusaha menemukan ATM CASH_UNIT Layanan id, seperti tidak bisa berfungsi tanpa layanan ini. Setelah menemukan itu, modul menyimpan hasil dan mulai melewati semua lebih lanjut panggilan ke fungsi membaca, parsing, dan mengeksekusi perintah dari C:\ATM\c.ini file.

ATMii adalah contoh lain bagaimana penjahat dapat menggunakan Library berpemilik yang sah dan sepotong kecil kode untuk mengeluarkan uang dari ATM. Beberapa sesuai langkah-langkah penanggulangan terhadap serangan tersebut adalah default-menyangkal kebijakan dan perangkat kontrol. Ukuran pertama mencegah penjahat menjalankan kode mereka sendiri pada ATM internal PC, sedangkan ukuran kedua akan mencegah mereka dari menghubungkan perangkat baru, seperti USB tongkat,” Kaspersky Lab menyatakan.


Leave a Reply

Your email address will not be published. Required fields are marked *