你是否幻想过ATM机对着自己源源不断地吐出货币搭建的金山银山?无论答案肯定与否,此类事件经黑客组织的“努力”,已经在世界各地频出不穷。
2017年5月,欧洲刑警组织在欧洲各地逮捕了27起针对ATM机的黑客攻击案;
2018年1月,美国黑客组织利用“Jackpotting”攻击从ATM提款机窃取100多万美元;
2018年3月,据称Carbanak集团的负责人在西班牙被警方逮捕,该集团涉嫌在一家银行网络主席窃取约8.7亿英镑(10亿欧元)。
近年来,黑客攻击ATM机窃取现金已成为一个日益严重的现实问题,最初主要在欧洲和亚洲。2017年,欧洲刑警组织警告,ATM攻击正在增加。“正在使用的恶意软件已经发生了显着变化,攻击的范围和规模也成比例增长,”欧洲刑警组织EC3网络犯罪中心主管史蒂文威尔逊说。
而Netskope威胁研究实验室3月底发现的新型恶意软件ATMJackpot似乎也印证了这个看法。该恶意软件似乎源于中国香港,并于2018年3月28日在二进制文件上有时间戳。该恶意软件可能仍在开发中。与以前发现的恶意软件相比,此恶意软件具有较小的系统占用空间,如图1,它的图形用户界面非常简单。
显示主机名以及服务提供商信息,例如自动提款机,密码键盘和读卡器信息。
通常,ATM恶意软件通过使用USB接口的物理访问传播到ATM,并且还通过网络通过使用复杂技术将恶意软件下载到被攻陷的ATM机器上。Netskope 网络检测到恶意软件ATMJackpot的下载信息为:Variant.Razy.255528。
技术分析:
ATMJackpot恶意软件首先将Windows类名称“WIN”注册到负责所有恶意软件活动的窗口过程中,如图2所示:
图2
然后恶意代码创建该窗口,在窗口中填充选项并启动与XFS管理器的连接。如图3
图3
XFS管理器实现访问API,以控制来自不同供应商的ATM设备。如图4
图4
恶意软件开启与服务提供商和注册的会话以监控事件并执行命令。然后打开与自动提款机,读卡器和密码键盘服务提供商的会话。
图5.从键盘读取(密码)数据
图6.分配现金
图7.弹出提款卡
由此不难看出,一旦与服务提供商的会话打开,恶意软件就能够监视事件并发出一连串命令进行资金转移。
恶意软件ATMJackpot将来是否会被改进并投入使用,目前尚未得知,但这却提醒了人们——如何保护ATM机及其系统安全这一议题的关注度值得进一步提升。
(来源:安知讯)
领取专属 10元无门槛券
私享最新 技术干货