新闻快讯
< >

近期泰国ATM提款机攻击与RIPPER恶意软件有关

E安全8月31日讯 安全公司火眼(FireEye)的专家分析了RIPPER恶意软件,他们认为攻击者在攻击泰国ATM提款机中使用了该恶意软件。

本月初,一个黑客组织使用恶意软件从泰国ATM提款机盗取1200万泰铢

火眼表示,RIPPER恶意软件于2016年8月23日首次上传到在线扫描服务VirusTotal。这个恶意代码通过泰国的IP地址上传。

火眼的专家将此恶意软件称为“RIPPER”,因为研究人员发现恶意软件样本中有“ATMRIPPER”字样,这表明该软件使用的是前所未见的技术。

来自中欧的网络犯罪团伙从泰国21台ATM提款机盗取超过1200万泰铢。

泰国央行(The Central Bank of Thailand,BoT)向所有银行发出警告。黑客似乎是利用安全漏洞盗取ATM提款机的现钞。 同一黑客团伙还盗取了台湾的银行ATM提款机,盗取台币7000万(折合220万美元)。

警告发出后,泰国政府储蓄银行(Government Savings Bank, GSB)关闭了3000台存在安全漏洞的ATM提款机。

火眼表示,RIPPER恶意软件借用了其它ATM恶意软件的多个功能:

  • 针对同一品牌的ATM提款机。

  • 盗取现金的技术遵循与Padpin(Tyupkin)、SUCEFUL和GreenDispenser一样的策略。

  • 与SUCEFUL类似,能控制读卡器设备读取或按需吐卡。

  • 能禁用本地网络接口,与Padpin恶意软件的功能类似。

  • GreenDispenser类似,使用“sdelete”安全删除工具移除取证证据。

  • 每笔提现限制为40张钞票,这是ATM提款机供应商允许的最大取现金额。

RIPPER恶意软件还具有新功能,比如,专门针对三大主要ATM厂商。

RIPPER恶意软件通过插入特别制造的ATM卡(带有EMV芯片)与ATM提款机交互,攻击者通过这种机制验证自己。这种机制不常见,Skimmer也使用这种方法。

为了保持持久性,RIPPER恶意软件使用独立的服务或伪装成合法的ATM进程。

当RIPPER作为服务安装,首先终止“dbackup.exe”过程,然后用二进制替换,之后安装持续服务“DBackup Service”。

RIPPER可以通过以下参数停止或启动“DBackup Service”:

启动服务(service start停止服务(service stop

RIPPER还支持以下命令行开关:

/autorun:将休眠10分钟,然后在幕后运行,等待交互。

/install: RIPPER将替换ATM上运行的ATM软件,步骤如下:

一经执行,RIPPER将通过本机Windows“taskkill”工具终止三大目标ATM厂商内存中运行的进程。

火眼表示,RIPPER将检查目标ATM厂商有关的目录内容,并用自身取代合法的可执行文件。这种技术允许该恶意软件维护合法程序名,从而避免被怀疑。

当RIPPER恶意软件在没有任何参数的情况执行,它执行一系列操作,比如与本地外围设备连接(例如自动提款机、读卡器和Pinpad)。

然后威胁通过恶意EMV芯片检测卡,开启计时器允许攻击者通过Pinpad控制ATM提款机。

攻击者可以执行多个恶意操作,包括清除日志并关闭ATM本地网络接口。

RIPPER恶意软件和该犯罪团伙的恶意代码相似之处如下:

E安全注:本文系E安全编辑报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。