最新病毒库日期:
  • 让ATM机自动吐现金 新型恶意软件GreenDispenser肆虐
2015-09-29 10:31 来源:未知
【文章摘要】软件被恶意植入,在悄无声息的情况下自行运行,最后再自我删除,毫无痕迹 新型的ATM恶意软件 江民科技安全专家最近发现一个新的ATM恶意软件,这个恶意软件被称为GreenDispenser,该恶
软件被恶意植入,在悄无声息的情况下自行运行,最后再自我删除,毫无痕迹……
新型的ATM恶意软件
江民科技安全专家最近发现一个新的 ATM 恶意软件,这个恶意软件被称为GreenDispenser,该恶意软件为非法分子窃取毫无防护之力的ATM现金提供了强大的臂助。
恶意软件的发现过程
江民安全专家初步还原了黑客利用该恶意软件实施攻击的全过程,这个恶意软件虽然只是在墨西哥被初步发现,但是在其他国家中也很难阻止使用类似的技术对ATM进行攻击,从而窃取现金。
当将恶意软件植入ATM的时候,ATM的界面会显示“暂停服务”的通知,只要在恶意软件自动删除之前,黑客输入正确的PIN码就可以让ATM吐出现金。
这个恶意软件让我们联想到去年发现的ATM恶意软件Ploutus ,以及另外一个被称为 Tyupkin的恶意软件。 Tyupkin,也是在墨西哥首次被发现,但是后来扩散到俄罗斯以及亚洲部分国家和地区。
江民安全专家表示:GreenDispenser相比于其他两个恶意软件显得更加的高级,GreenDispenser有能力利用XFS的中间件标准,入侵不同的ATM供应商机器的硬件。
GreenDispenser最初的扩散、植入,是需要物理访问到ATM机系统的,而实现的过程很可能是通过维护ATM机的工程师,或者是被贿赂的银行内部管理人员。而一旦植入了GreenDispenser之后,它启用的功能类似于Tyupkin,但是也有一些不一样的功能:时间限制和双因子认证。时间限制是指其能在指定的时间运行,双因子认证是为了确保只有犯罪团伙成员能从感染的机器取出现金。
据专家分析,GreenDispenser的运行时间是在2015年9月之前,而且也只是在特定系统中静默运行,避免被发现。GreenDispenser中也捆绑了一个批处理脚本,专门用来进行深度自我删除(包括各种资料录像等),扫除运行痕迹。
同时,在GreenDispenser运行过程中,通过一个移动终端应用,控制恶意软件运行,通过双因子认证的方式生成PIN验证码,犯罪团伙成员通过在ATM机上输入该验证码,就可以让ATM机吐出现金。
恶意软件的双因子验证,犯罪团伙成员先是通过使用一个静态硬编码的PIN码进行验证,一次验证过后,在第二次验证时犯罪团伙成员先通过移动终端应用控制恶意软件在ATM机器上生成QR码(二维码的一种),再通过扫描这个QR码生成动态PIN码,最后输入动态PIN码让ATM机吐出现金。
安全专家提醒
ATM恶意软件,如上述提到的GreenDispenser, Tyupkin and Ploutus,使得外部入侵者能够直接攻击金融基础设施,而不用其他额外的方法去获取用户的信用卡和借记卡信息,这对于金融机构来说,将是一个持续的挑战,在这种情况下,银行机构应该是先加强内部的安全管理,其次专业的防护系统也也不可少。在这里,江民安全专家为大家推荐一款安全防护系统——江民专网安全防护系统。
 专网安全防护 为银行金融机构保驾护航
“江 民专网防护系统”是针对专用设备的安全需求,采用一种全新的安全解决思路来从根本上解决专用设备的病毒防范问题。与传统的防火墙、防病毒、入侵检测系统等 基于网络防护的安全产品不同,专网防护是基于对操作系统的内核级进行专网防护的技术,当未经授权的非法用户通过各种手段突破了防火墙等网络安全产品,进入 了内部设备主机并获得相应的管理权限运行其间谍软件或黑客程序,以达到窃取或破坏机密数据等严重的恶意操作时,专网防护技术就将成为最后也是最坚固的一道 防线。专网防护通过控制中心将用户使用和安装过的程序或软件加入到信任程序列表(白名单)并下发到同网络内运行的设备主机中,在设备主机正常的工作模式下通过信任程序列表对运行的程序或软件进行安全审核,从而达到从根本上保障Windows系统安全的目的。也就是说即使非法入侵者拥有了Windows 系统管理员最高权限并进入了操作系统,也不能对经过专网防护技术保护的系统,运行或安装木马、后门等恶意软件或程序,保证了核心或重要数据的安全性不被破坏和任何操作。提升系统的安全等级,为用户构造一个安全的操作系统平台。