http://p4.qhimg.com/t017446593480ba6d20.jpg

http://p9.qhimg.com/t017446593480ba6d20.jpg

使用恶意代码来入侵自动取款机在刑事系统中是很常见的。在过去,安全专家们已经发现了一些设计了含有这个意图的恶意软件。

ATM的恶意软件,如tyupkin,Ploutus,padpin和suceful是这类威胁中的一些例子罢了,这些恶意软件允许黑客直接从ATM机器中窃取现金。

在Proofpoint被安全专家们发现的最后的威胁就是“GreenDispenser”,GreenDispenser是一个与Tyuplin恶意软件有很多相似之处的恶意软件。

安装greendispenser后请求物理访问目标ATM机,然后攻击者可以在PIN pad上让机器直接吐出现金。

Proofpoint的专家们认为“greendispenser可以让攻击者直接控制受感染的ATM并且耗尽其现金库的。在安装时,greendispenser可能在ATM上显示“停止服务”的消息——但是输入正确的PIN代码的攻击者紧接着就可以耗空ATM的现金库,并且可以使用一个深层删除程序就可以擦除GreenDispenser,如果有任何关于自动取款机被洗劫的踪迹也是微乎其微的。”

和其他ATM恶意软件一样,GreenDispenser能够实现XFS,延伸至专门用于AMT机器的金融服务DLL运行库(MSXFS.dll)。该库提供了一种专用的通讯接口(API),用于与自动取款机的PIN pad和现金分配器进行通信。

据Proofpoint研究发现,第一个PIN是硬编码,于此同时第二个代码是通过在显示屏幕上解码QR代码获得的。研究人员认为,网络犯罪分子很有可能使用移动APP来解码QR代码从而获得动态验证码。

GreenDispenser ATM恶意软件试图通过查询特定的注册表位置来获得PIN pad的名称以及洗劫现金,如果这个方法尝试失败了则会被命名为“Pinpad1”和“CurrencyDispenser1 。”

一旦欺诈者验证了ATM,那么该机器就会显示一个用于洗劫现金的菜单,比如卸载该恶意程序。

CurrencyDispener ATM恶意软件会在运行前检查当前的数据CurrencyDispener在20159月前年被设计出来。其功能已经能够实现关闭防止恶意软件的检测程序。

专家们毫不怀疑,ATM 将会继续是犯罪分子们专用的工具,这将能够优化他们的恶意代码来避免检测。

Proofpoint 宣称:“ATM恶意软件在不断发展着,不仅拥有隐蔽功能外,还拥有针对来自不同ATM硬件供应商的ATM机器的能力。”

文章原文链接:https://www.anquanke.com/post/id/82643