Новости

RSS-трансляция Читать в ВКонтакте Читать в Одноклассниках Наш канал в Яндекс Дзен




15.01.2017 18:08
5164

Эксперты Trend Micro сообщили, что в процессе совместной работы с представителями Европола они смогли обнаружить семейство вредоносных программ, которые атакуют банкоматы. Приложение получило название Alice.

Опасный вирус был выявлен в ноябре 2016 года, однако определенные признаки указывают на то, Alice увидел свет еще в 2014 году. Утилита позволяет преступникам заставлять банкоматы выдавать денежные средства (при наличии физическогодоступа к терминалу). Эксперты считают, что Alice способен атаковать любой терминал, использующий платформу Extended Financial Services от Microsoft (XFS).

Появились подробности о вирусе Alice, который заставляет банкоматы выдавать деньги

Для начала взлома злоумышленникам необходим доступ к CD-ROM или USB терминала (для загрузки на устройство вредоносного кода), а также к системной плате, чтобы подключить клавиатуру. Оказалось, что вирус не способен взаимодействовать с клавиатурным блоком терминала.

Анализ показал, что обнаруженные образцы были упакованы при помощи упаковщика VMProtect, который также может выполнять обфускацию. Это позволило создателям усилить защиту программного кода. Перед первым стартом вирус осуществляет проверку программной среды, чтобы убедиться, что устройство является банкоматом. Для этого проверяется доступность специфических библиотек и записей в реестре.

После успешного старта Alice создает в корневой директории два файла: журнал фиксации ошибок с названием TRCERR.LOG и файл xfs_supp.sys (является пустым и имеет размер 5 мегабайт). Далее происходит подключение к активной периферии и запрос PIN-кода. Если введенный код корректен, на дисплей выводится информация о денежных кассетах, загруженных в терминал.

Исследователи выяснили, что вирус поддерживает три различные команды, каждая из которых обладает собственным PIN-кодом. Первая позволяет раскодировать и переместить в текущий каталог файл sd.bat (обеспечивает удаление вредоносной утилиты). Вторая инструкция позволяет осуществить выход из приложения и начать процесс стирания вируса. Еще одна команда запускает панель администратора, которая и передает информацию о загруженных банкнотах.

Для кражи денег атакующему достаточно указать ID кассеты – терминал начнет выдачу средств. Большинство банков устанавливают лимит на количество банкнот, выданных за один раз, однако ничто не мешает злоумышленнику повторить операцию выдачи многократно.

Понравилась эта новость? Подпишись на нас в соцсетях!


Смотрите ещё