让ATM机自动吐钱的恶意软件,估计每个人都想要

0

1482395559191949

近日网络安全服务商趋势科技与欧洲刑警组织的欧洲网络犯罪中心(Europol EC3)联合发现了一款新的入侵ATM的恶意软件- Alice,Alice能够将ATM的保险柜金洗劫一空,不用任何银行卡,不用输入密码就能让里面的现金分分钟易主。

其实使用恶意软件来入侵ATM在刑事系统中是很常见的。在过去,安全专家们已经发现了一些类似图的恶意软件。比如Tyupkin(Padpin),Ploutus,padpin,suceful,GreenDispenser。

Alice的独特之处

Alice在2016年11月首次被发现,刚开始研究人员推测Alice很可能是Tyupkin(Padpin)的最新变体,但经过进一步的调查,专家们发现Alice是个全新的ATM恶意攻击软件。趋势科技表示:“Alice很明显与与其他ATM恶意软件不同,Alice没有信息窃取的功能,只是用来洗劫ATM保险柜的。”根据研究人员的分析,使用Alice的犯罪分子必须先得物理接触到目标ATM,这表明很大程度上是内鬼所为、或者银行员工在安装时没能留意到程序有被恶意软件所修改过。安全人员说:“攻击者会输入PIN码来洗劫ATM机,而且作案之后,Alice也不会特意的对自己进行卸载,它只通过在适当的环境中运行可执行文件来实施犯罪。”

Alice不像早先的GreenDispenser恶意软件那样,具有很强的隐蔽功能,GreenDispenser这款恶意软件附加了深度删除功能,以便攻击者在把钞箱洗劫一空之后,清除掉自己留下的踪迹。据说Alice也可以通过远程桌面协议(RDP)使用,但研究人员目前没有发现这种使用的痕迹。

Alice的运行过程如下:

1
当Alice执行时,它在根目录中创建一个空的5 MB大小的文件,名为xfs_supp.sys并显示出一条虚假的错误日志文件TRCERR.LOG。xfs_supp.sys用零填充,但不包含数据,TRCERR.LOG会跟踪任何XFS API调用的相关消息或错误。即使恶意软件被删除,该文件仍会保留在计算机上,可能是以后进行故障排除或者只是因为vxers忘记删除它。

1482395651276295

“自动取钱”详情

研究人员注意到,Alice仅连接到CurrencyDispenser1外设,并且不包括使用PIN键盘的代码,可能是为了犯罪分子与ATM进行物理访问时通过USB或CD-ROM进行感染。

专家们分析到:

Alice只连接到CurrencyDispenser1外设,它从不尝试使用机器的PIN键盘。这个运行的逻辑应该是,Alice背后的罪犯需要通过USB或CD-ROM对ATM进行物理打开并感染机器,然后将键盘连接到机器的主板,并通过它运行恶意软件。

而其他ATM恶意软件,比如GreenDispenser则能够实现XFS,延伸至专门用于AMT机器的金融服务DLL运行库(MSXFS.dll)。该库提供了一种专用的通讯接口(API),用于与自动取款机的PIN pad和现金分配器进行通信。

Alice恶意软件的代码至今还没有被破解,因为它使用了VMProtect,,VMProtect是一个软件保护软件。通过这个软件保护的代码部分在虚拟机上执行,这使得被保护的程序很难被分析与破解。另外在非ATM的环境中Alice会自动停止运行。

Alice支持以下三个命令,每个命令通过特定的PIN发出:

1
2
3
删除文件以进行卸载。
退出程序运行卸载/清理程序。
打开“操作面板”,查看ATM中可用的现金数量。

一旦Alice进入到ATM的环境中,就会开始攻击,通过钱骡子进入到ATM保险柜,ATM的屏幕上就会显示现在ATM里每个钞票箱里有多少现金,并且询问犯罪分子要洗劫哪个钞票箱,然后通过WFSExecute API把取钞命令发送到CurrencyDispenser1外设。选择后,ATM会从选定的钞票箱中每次吐出来40张钞票。

不过Alice每次运行的时候都需要犯罪分子来把Windows任务管理器taskmgr.exe重新替换成Alice。

Focus On The Network Information Security.

作者主页 邮箱 微博 腾讯微博 QQ Twitter Facebook Google+

发表评论

您的邮箱不会公开,当您的评论有新的回复时,会通过您填写的邮箱向您发送评论内容。 必填字段 *

返回顶部