軟件被惡意植入，在悄無聲息的情況下自行運(yùn)行，最后再自我刪除，毫無痕跡……

[[150659]]

新型的ATM惡意軟件

安全專家最近發(fā)現(xiàn)一個(gè)新的 ATM 惡意軟件，這個(gè)惡意軟件被稱為GreenDispenser，該惡意軟件為非法分子竊取毫無防護(hù)之力的ATM現(xiàn)金提供了強(qiáng)大的臂助。

惡意軟件的發(fā)現(xiàn)過程

安全服務(wù)商Proofpoint，初步還原了黑客利用該惡意軟件實(shí)施攻擊的全過程，也提出警告，這個(gè)惡意軟件雖然只是在墨西哥被初步發(fā)現(xiàn)，但是在其他國家中很難阻止使用類似的技術(shù)對(duì)ATM進(jìn)行攻擊，從而竊取現(xiàn)金。

當(dāng)將惡意軟件植入ATM的時(shí)候，ATM的界面會(huì)顯示“暫停服務(wù)”的通知，只要在惡意軟件自動(dòng)刪除之前，黑客輸入正確的PIN碼就可以讓ATM吐出現(xiàn)金。

這個(gè)惡意軟件讓我們聯(lián)想到去年發(fā)現(xiàn)的ATM惡意軟件Ploutus ，以及另外一個(gè)被稱為 Tyupkin的惡意軟件。 Tyupkin，也是在墨西哥首次被發(fā)現(xiàn)，但是后來擴(kuò)散到俄羅斯以及亞洲部分國家和地區(qū)。

Proofpoint的首席安全專家Kevin Epstein 告訴EI Reg：

”GreenDispenser相比于其他兩個(gè)惡意軟件顯得更加的高級(jí)，GreenDispenser有能力利用XFS的中間件標(biāo)準(zhǔn)，入侵不同的ATM供應(yīng)商機(jī)器的硬件。”

GreenDispenser最初的擴(kuò)散、植入，是需要物理訪問到ATM機(jī)系統(tǒng)的，而實(shí)現(xiàn)的過程很可能是通過維護(hù)ATM機(jī)的工程師，或者是被賄賂的銀行內(nèi)部管理人員。而一旦植入了GreenDispenser之后，它啟用的功能類似于Tyupkin，但是也有一些不一樣的功能：時(shí)間限制和雙因子認(rèn)證。時(shí)間限制是指其能在指定的時(shí)間運(yùn)行，雙因子認(rèn)證是為了確保只有犯罪團(tuán)伙成員能從感染的機(jī)器取出現(xiàn)金。

據(jù)Proofpoint 分析，GreenDispenser的運(yùn)行時(shí)間是在2015年9月之前，而且也只是在特定系統(tǒng)中靜默運(yùn)行，避免被發(fā)現(xiàn)。GreenDispenser中也捆綁了一個(gè)批處理腳本，專門用來進(jìn)行深度自我刪除(包括各種資料錄像等)，掃除運(yùn)行痕跡。

同時(shí)，在GreenDispenser運(yùn)行過程中，通過一個(gè)移動(dòng)終端應(yīng)用，控制惡意軟件運(yùn)行，通過雙因子認(rèn)證的方式生成PIN驗(yàn)證碼，犯罪團(tuán)伙成員通過在ATM機(jī)上輸入該驗(yàn)證碼，就可以讓ATM機(jī)吐出現(xiàn)金。

惡意軟件的雙因子驗(yàn)證，犯罪團(tuán)伙成員先是通過使用一個(gè)靜態(tài)硬編碼的PIN碼進(jìn)行驗(yàn)證，一次驗(yàn)證過后，在第二次驗(yàn)證時(shí)犯罪團(tuán)伙成員先通過移動(dòng)終端應(yīng)用控制惡意軟件在ATM機(jī)器上生成QR碼(二維碼的一種)，再通過掃描這個(gè)QR碼生成動(dòng)態(tài)PIN碼，最后輸入動(dòng)態(tài)PIN碼讓ATM機(jī)吐出現(xiàn)金。

結(jié)語

ATM惡意軟件，如上述提到的GreenDispenser, Tyupkin and Ploutus，使得外部入侵者能夠直接攻擊金融基礎(chǔ)設(shè)施，而不用其他額外的方法去獲取用戶的信用卡和借記卡信息，這對(duì)于金融機(jī)構(gòu)來說，將是一個(gè)持續(xù)的挑戰(zhàn)，在這種情況下，銀行機(jī)構(gòu)應(yīng)該是先加強(qiáng)內(nèi)部的安全管理。