Netskope威脅研究實驗室發現了一種新的ATM惡意軟體“ATMJackpot”。該惡意軟體似乎源於香港,並於2018年3月28日在該二進位文件上有時間戳。顯示該惡意軟體可能仍在開發中。與以前發現的惡意軟體相比,此惡意軟體佔用的系統空間較小,非常簡單的圖形用戶界面,顯示主機名及服務供應商訊息,例如自動提款機,鍵盤和讀卡器訊息。
在ATM攻擊中,將惡意軟體安裝在ATM上以領取大量的現金。正如報導的一樣,ATM攻擊正在增加,2014年初在歐洲和俄羅斯發生類似的攻擊。通常,ATM惡意軟體透過使用USB介面感染到ATM,並且透過網路,透過使用複雜技術將惡意軟體下載到已經感染的ATM機器上。Netskope檢測到此惡意軟體的下載名為Variant.Razy.255528。
技術分析:
ATMJackpot惡意軟體首先將Windows的名稱“WIN”註冊到負責所有惡意軟體活動程序中
註冊一個程序後,惡意軟體會創建一個程序,在當中填充選項,並啟動與XFS管理器的連接
在啟動與XFS管理器的連接後,惡意軟體打開與服務供應商的會話並註冊監視事件,如圖4所示。惡意軟體打開與CDM(自動提款機),IDC(讀卡器)和PIN(針腳)的服務供應商。
成功註冊後,惡意軟體可以監視來自不同服務供應商的事件並執行命令。
命令:
惡意軟件使用WFSAsyncExecute API從鍵盤讀取數據。
惡意軟件具有免除現金的功能。
惡意軟件還具有彈出卡的功能。
有關API和其他ATM惡意軟件背景的更多詳細信息,請參閱此處。
https://www.slideshare.net/CysinfoCommunity/atm-malware-understanding-the-threat
沒有留言:
張貼留言