隐身恶意软件撇渣器帮助黑客轻松窃取自动取款机的现金
安全研究人员发现了一个名为Skimer的恶意软件程序的新版本,该程序旨在感染基于Windows的ATM,可用于窃取金钱和付款卡详细信息。
Skimer最初在七年前发现,但它仍然被网络犯罪分子积极使用并随着时间的推移而发展。由Aspersky Lab的研究人员发现的最新修改,使用新技术来逃避检测。
安装后,恶意软件检查文件系统是否为FAT32或NTFS。如果它的FAT32它会在C:/ Windows / System32目录中丢弃恶意可执行文件,但如果它是NTFS,它将在NTFS数据流中写入与Microsoft的Financial Services(XFS)对应的NTFS数据流中的文件服务。
卡巴斯基研究人员在博客岗位中说,这种技术最有可能使法医学分析更加困难。
XFS服务仅在ATM上存在,并提供特殊的API(应用程序编程接口),使软件能够与ATM的PIN焊盘通信。Microsoft不提供此服务的任何公共文档,但网络犯罪分子可能已经找到了在几年前在ATM制造商NCR中的程序员参考手册中与其互动的必要信息。
新的Skimer版本修改了ATM上找到的合法XFS可执行SPIService.exe,以便加载自己的恶意组件,称为NetMgr.dll。这允许恶意软件与PIN焊盘和读卡器交互。
当用磁条上写入的特殊数据插入ATM时,撇渣器只会醒来。根据卡的轨道2数据,恶意软件将在ATM屏幕上打开其接口,该屏幕需要身份验证,或者将自动执行数据中包含的命令。
在攻击者身份验证后,他可以通过接口发出命令以从ATM的内部盒式磁带处分配纸币,从而开始收集插入在ATM中的卡的详细信息,以更新恶意软件或卸载它。
“关于这种情况的一个重要细节是Track2中的硬编码信息 - 恶意软件等待将其插入到ATM中以激活,”卡巴斯基研究人员表示。“银行可以在其处理系统内主动寻找这些卡号码,并检测可能感染的ATM,金钱骡子或阻止尝试激活恶意软件。”
Skimer只是旨在感染近年来发现的ATM的几个恶意软件程序之一,这表明这种攻击方法在网络犯罪分子中越来越受欢迎。
过去已在过去的ATM上安装恶意软件程序的方式。在某些情况下,它由内部人员安装。在别人中,它是通过从CD驱动器启动使用特殊键在打开ATM的前壳后启动。
如果他们“重新连接到银行的内部网络或使用被盗的远程支持凭据,攻击者也可以妥协ATM。
卡巴斯基研究人员建议常规防病毒扫描,使用白名单技术,良好的设备管理策略,全磁盘加密,保护ATM BIOS使用密码,仅允许HDD从其他内部银行网络隔离ATM。