بدافزار جدید ATMii می‌تواند پول نقد را از دستگاه‌های خودپرداز خالی کند

محققان آزمایشگاه کسپرسکی کشف کرده‌اند که یک بدافزار جدید دستگاه‌های خودپرداز را مورد هدف قرار می‌دهد و به مهاجمان این امکان را می‌دهد که پول نقد موجود در آن‌ها را به طور کامل خالی کنند. بدافزار ATMii، اولین بار در ماه آوریل امسال مشاهده شد، که از یک ماژول تزریق‌کننده(exe.exe) و ماژول برای تزریق (dll.dll) تشکیل شده است. کسانی که از این بدافزار استفاده می‌کنند به دسترسی مستقیم به دستگاه خودپرداز هدف (هم در شبکه هم به طور فیزیکی) نیاز دارند تا آن را نصب کنند. 

 

طبق تجزیه و تحلیل‌ها، محققان امنیتی دریافتند که تزریق‌گر، که یک برنامه خط فرمان محافظت‌نشده است، در ویژوال C با یک برچسب زمانی اجرای جعلی برای ۴ سال پیش نوشته شده است. این بدافزار از نسخه ایکس‌پی به بعد ویندوز که بستر بیشتر دستگاه‌های خودپرداز است، پشتیبانی می‌کند. تزریق‌گر فرآیند نرم‌افزاری اختصاصی دستگاه خودپرداز به نام atmapp.exe را هدف قرار می‌دهد تا ماژول دوم را به آن تزریق کند. با این‌حال، به نظر می‌رسد تزریق‌گر نسبتا ضعیف نوشته شده و وابسته به چند پارامتر است و اگر پارامتری به آن ارسال نشود، خطا رخ می‌دهد.

 

پارامترهایی که پشتیبانی می‌کند عبارتنداز: /load، که تلاش می‌کند dll.dll را به atmapp.exe تزریق کند، /cmd، که پرونده C:\ATM\c.ini ایجاد و به‌روزرسانی می‌کند (که توسط dll تزریق شده برای خواندن دستورات استفاده می‌شود)،  و /unload، که تلاش می‌کند در زمان بازیابی وضعیت آن، کتابخانه تزریق‌شده را از فرآیند atmapp.exe بارگیری کند. براساس دستورالعمل‌های موجود، این بدافزار می‌تواند سرویس CASH_UNIT XFS را پویش کند، مبلغ موردنظر پول نقد را برداشت کند (که در آن مقدار و پول رایج  به‌عنوان پارامتر استفاده می‌شود)، اطلاعاتی در مورد کارت‌های نقدی دستگاه خودپرداز بازیابی کرده و آن را در پرونده گزارش ثبت کند و پرونده C:\ATM\c.ini را حذف کند.

 

ماژول تزریق‌شده تلاش می‌کند تا شناسه سرویس CASH_UNIT دستگاه خودپرداز را پیدا کند، چون نمی‌تواند بدون این سرویس کار کند. پس از پیداکردن آن، نتیجه را ذخیره می‌کند و تمام فراخوانی‌های دیگر را به یک تابعی ارسال می‌کند که مسئول خواندن، تجزیه و اجرای دستورات از پرونده C:\ATM\c.ini است. کسپرسکی نتیجه می‌گیرد: «بدافزار ATMii نمونه‌ی دیگری از چگونگی استفاده مجرمان از کتابخانه‌های اختصاصی قانونی و یک قطعه کد کوچک برای برداشت پول از دستگاه خودپرداز است. برخی از اقدامات مناسب در برابر چنین حملاتی، سیاست‌های منع‌کننده و کنترل دستگاه‌هاست. اقدام اول مانع از اجرای کدهای مجرمان در رایانه داخلی دستگاه خودپرداز می‌شود، در حالی‌که اقدام دوم مانع از اتصال دستگاه‌های جدید، مثل یواس‌بی فلش‌ها می شود.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید