ATM危机不断:新型ATM恶意软件PRILEX正展开新一轮攻击

导语:近日,据外媒报道称,来自趋势科技的安全研究人员分析发现了一款新型ATM恶意软件——PRILEX,主要用于针对巴西银行实施高度针对性的攻击活动。

ATM-hacking-2.jpg

近日,据外媒报道称,来自趋势科技的安全研究人员分析发现了一款新型ATM恶意软件——PRILEX,主要用于针对巴西银行实施高度针对性的攻击活动。

据研究人员介绍称,PRILEX恶意软件是用Visual Basic 6.0(VB6)编写的,专门用于劫持银行应用程序,窃取ATM用户的信息。

据悉,卡巴斯基实验室最初于2017年10月就已经发现了第一次PRILEX攻击活动,但是趋势科技进行的分析显示该恶意软件具有非常特殊的行为属性。该ATM恶意软件是通过钩挂某些动态链接库(DLL)来运行,并将其替换为自己的应用程序屏幕。这些恶意软件代码所针对的目标DLL包括:

P32disp0.dll;
P32mmd.dll;
P32afd.dll

研究人员通过进一步调查确定,这些目标DLL都是属于巴西银行的ATM应用程序。

此外,该恶意软件的特殊性还表现在,只会影响特定品牌的自动取款机,这说明该恶意软件是为高度针对性的攻击活动而设计开发的。

一旦成功感染ATM设备后,PRILEX恶意软件就开始与银行应用程序一起开始干扰行动,PRILEX会显示自己的虚假屏幕,诱导目标用户提供其帐户的安全代码。该代码是作为双因素身份验证过程的一部分提供给用户的,PRILEX恶意软件将能够劫持并存储该代码信息。

另外一个引起研究人员关注的特殊点在于,在上述过程之后,PRILEX恶意软件会试图将劫持并存储的数据发送回命令和控制(C&C)服务器,这对于ATM恶意软件来说是非常罕见的行为。

研究人员在随后发布的分析报告中写道,

据我们所知,这是第一款假设ATM设备是连接网络的ATM恶意软件。分析发现的这家银行的ATM很大可能就是连接到互联网的,从此可以看出,攻击者似乎对这些特定品牌的ATM设备的使用方法和流程非常熟悉。

另一个证明该恶意软件攻击是高度针对性的证据是,攻击者的目的只是窃取用户信息,而不是破解ATM设备,这说明攻击者背后的犯罪团伙存在处理大量信用卡凭证的情况。

报告进一步解释道,

其实,从PRILEX恶意软件身上我们可以学到一些更重要的东西。一是,任何一家银行独有的方法和流程都可能会被犯罪分子洞悉,并用于高度针对性的攻击之中。所以,如果你想捍卫自己的ATM基础设施就必须重视这种情况。二是,直接破解ATM的攻击是非常臭名昭著,且易于察觉的,但是像这种静默式的攻击可能会潜伏几个月,甚至几年都能不被发现。三是,高度针对性的恶意软件可能需要花费大量的时间和资源来进行开发,这表明在当今社会,犯罪分子认为这是值得投资的行为。

CUTLET MAKER:正在暗网出售的ATM恶意软件

除了PRILEX之外,趋势科技的研究人员还分析了最近发现的另一款ATM恶意软件——CUTLET MAKER,该恶意软件目前正在暗网以5000美元左右的价格出售。

据悉,该犯罪软件工具包最初是由卡巴斯基于今年10月份发现的,该工具包旨在不与ATM用户以及数据进行交互的情况下,使用一个供应商API针对各种Wincor Nixdorf ATM模型。

研究人员发现,早在今年 5 月,这个恶意软件就已经在 AlphaBay 暗网市场上出售了,在美国当局关停这个网站之后,10月份,恶意软件的开发者又新建了一个网站,新网站的名字是 ATMjackpot ,开发者并对软件做了一些修改。

ATM-malware-AlphaBay-cutlet-maker-3.png

【恶意软件功能介绍】

开发者声称,只要能连接上 ATM 的 USB 接口,该恶意软件可以在任何 Wincor Nixdorf ATM 上运行。此外,该网站上也放出了视频,来展示软件的工作、连接硬件、软件运行、吐钞过程。

研究人员分析发现,当攻击者接近 ATM 机时,会使用暴力手段将其 USB 接口暴露出来,然后用自己的设备连接这个接口,连接自己的无线键鼠和装有 Cutlet Maker malware 的存储卡。

该恶意软件包含两部分:Cutlet Maker(这个是恶意软件的主程序,用来对接 ATM 软件接口)和一个模拟程序(这个程序用来控制 ATM 吐钱)。一旦连接上 ATM 机,主程序 Cutlet Maker 将会运行。然后会在窗口的左下角显示一段代码:

 cutlet-maker-ATM-malware.png

购买者必须将这段代码(图中所示为16517234)通过手机(安装了 Tor )复制到 ATMjackpot 网站中,然后会得到一个解锁 Cutlet Maker app 的密码。然后,攻击者就可以利用模拟程序查询 ATM 余额,并控制吐钱。

一旦攻击者知道 ATM 机余额还有多少,他们就可以使用 Cutlet Maker app 上的四个按钮进行操作了,这四个按钮的功能如下:

Check Heat:开始吐钱;
Start Cooking:打印记录;
Stop:停止“Start Cooking”进程;
Reset:重启整个吐钞程序;

但是目前,CUTLET MAKER恶意软件已经被其竞争对手破解,代码可以在互联网上轻松地访问到,这也就意味着,任何人都能在无需支付任何费用的情况下使用该恶意软件工具包破坏ATM设备,或者至少是破坏具有可访问USB端口的ATM设备。截至目前,CUTLET MAKER的合法开发者并没有发布更新的版本来解决该问题,ATM安全堪忧!

源链接

Hacking more

...