ATM tự lây nhiễm phần mềm độc haị.

Bảy năm trước, là năm 2009, các chuyên gia an ninh thấy một loại mã̃ độc hoàn toàn mới chỉ dùng cho các cuộc tấn công vào ngân hàng. Thay vì lây nhiễm các máy tính của hàng ngàn người dùng trên toàn thế giới, bọn tội phạm đã thực thi lênh trực tiếp ẩn nấ́p sau khi các máy ATM chạy lây nhiễm của chính nó - nó lây nhiễm phần mềm độc hại được gọi là Skimer.

Bảy năm sau, nghiên cứu toàn cầu của EASTvà đội cùng với đội kiểm tra thâm nhập phân tích đã được kêu gọi cho một ứng phó sự cố. Họ phát hiện ra một cải tiến mới, phiên bản của Skimer|skimmer.

Chức năng mới

Không giống như Tyupkin, nơi đã có một mã matrix và một khung thời gian cụ thể mà các phần mềm độc hại đã được hoạt động, Skimer chỉ tỉnh dậy khi một thẻ matrix (cụ thể là dữ liệu ,Track 2  xem IOCs ở dưới cùng của bài đăng trên blog này) được chèn vào. Đó là một cách thông minh để thực hiện kiểm soát quyền truy cập vào các chức năng của phần mềm độc hại.

Một khi thẻ matrix được đưa vào, các phần mềm độc hại đã sẵn sàng để tương tác với hai loại thẻ khác nhau, mỗi loại có chức năng khác nhau:

• Thẻ loại 1 - yêu cầu lệnh thông qua giao diện
• Thẻ loại 2 - thực hiện lệnh hardcoded trong Track2

Sau khi thẻ được đẩy ra, người sử dụng sẽ được trình bày với một hình thức, yêu cầu họ để chèn các khóa phiên trong vòng chưa đầy 60 giây. Bây giờ người dùng được xác thực, và các phần mềm độc hại sẽ chấp nhận 21 mã khác nhau để thiết lập hoạt động của nó. Các mã này sẽ được nhập vào từ bàn phím pin.

Dưới đây là danh sách các tính năng quan trọng nhất:

• Hiển thị chi tiết cài đặt;
• Chia tiền - 40 ghi chú từ các cassette quy định;
• Bắt đầu thu thập các thông tin chi tiết của thẻ chèn;
• In chi tiết thẻ thu thập;
• Tự xóa;
• Chế độ kiểm tra sửa lỗi;
• Cập nhật (mã phần mềm độc hại được cập nhật được nhúng trên thẻ).

Trong hoạt động của mình, các phần mềm độc hại cũng tạo ra các tập tin hoặc NTFS dòng sau (tùy thuộc vào loại hệ thống tập tin). Những tập tin này được sử dụng bởi các phần mềm độc hại ở các giai đoạn khác nhau của hoạt động của nó, chẳng hạn như lưu trữ các cấu hình, lưu trữ dữ liệu lướt thẻ và đăng nhập hoạt động của nó:

• C: \ Windows \ Temp \ attrib1 dữ liệu thẻ thu từ lưu lượng mạng hoặc từ các đầu đọc thẻ;
• C: \ Windows \ Temp \ attrib4 bản ghi dữ liệu từ các API khác nhau chịu trách nhiệm về các thông tin liên lạc với các bàn phím (đăng nhập có hiệu quả các dữ liệu như các pin);
• C: \ Windows \ Temp \ mk32 giống như attrib4;
• C: \ Windows \ Temp: attrib1 giống như các tập tin tương đồng;
• C: \ Windows \ Temp: attrib4 giống như các tập tin tương đồng;
• C: \ Windows \ Temp: mk32 giống như các tập tin tương đồng;
• C: \ Windows \ Temp: lựa chọn hoạt động các bản ghi mule's.

Kết luận

Trong trường hợp ứng phó sự cố gần đây liên quan đến việc lạm dụng các máy ATM, chúng tôi đã xác định Tyupkin, Carbanak và tấn công hộp đen. 

Sự tiến hóa của Backdoor.Win32.Skimer chứng tỏ sự quan tâm kẻ tấn công trong các gia đình phần mềm độc hại như các máy ATM là một cơ chế rút ra rất thuận lợi cho bọn tội phạm.

Một chi tiết quan trọng cần lưu ý về trường hợp này là thông tin hardcoded trong Track2 - Waits phần mềm độc hại này sẽ được chèn vào máy ATM để kích hoạt. Các ngân hàng có thể chủ động tìm kiếm những số thẻ bên trong hệ thống xử lý của họ, và phát hiện máy ATM có khả năng nhiễm bệnh, lừa tiền, hoặc cố gắng khối để kích hoạt phần mềm độc hại.

Chúng tôi cũng khuyên bạn nên AV quét thường xuyên, việc sử dụng các công nghệ danh sách trắng, một chính sách quản lý thiết bị tốt, mã hóa đĩa đầy đủ, bảo vệ ATM BIOS bằng mật khẩu, chỉ cho phép ổ cứng khởi động, và cô lập các mạng ATM từ bất kỳ mạng nội bộ ngân hàng khác.

Kaspersky Lab đã xác định 49 sửa đổi của phần mềm độc hại này, với 37 trong số những thay đổi nhắm mục tiêu các máy ATM do chỉ là một nhà sản xuất. Các phiên bản mới nhất được phát hiện vào đầu tháng 5 năm 2016.

Tất cả các mẫu mô tả được phát hiện bởi Kaspersky Lab như Backdoor.Win32.Skimer. file SpiService.exe vá được phát hiện như là Trojan.Win32.Patched.rb

Vì đây vẫn là một cuộc điều tra đang diễn ra, chúng tôi đã chia sẻ với báo cáo đầy đủ với LEA khác nhau, certs, các tổ chức tài chính và Kaspersky Lab Threat Intelligence khách hàng-dịch vụ. Để biết thêm thông tin xin vui lòng liên hệ với intelreports@kaspersky.com

Indicators of Compromise

ATM PROTECTION SYYSTEM WEBSITE  www.ecapro.com.vn

Hashes

F19B2E94DDFCC7BCEE9C2065EBEAA66C
3c434d7b73be228dfa4fb3f9367910d3
a67d3a0974f0941f1860cb81ebc4c37c
D0431E71EBE8A09F02BB858A0B9B80380
35484d750f13e763eae758a5f243133
e563e3113918a59745e98e2a425b4e81
a7441033925c390ddfc360b545750ff4

Filenames

C:\Windows\Temp\attrib1
C:\Windows\Temp\attrib4
C:\Windows\Temp\mk32
C:\Windows\Temp:attrib1
C:\Windows\Temp:attrib4
C:\Windows\Temp:mk32
C:\Windows\Temp:opt
C:\Windows\System32\netmgr.dll

Track 2 data

******446987512*=********************
******548965875*=********************
******487470138*=********************
******487470139*=********************
******000000000*=********************
******602207482*=********************
******518134828*=********************
******650680551*=********************
******466513969*=********************