Tyupkin: само манипулирование банкоматами с помощью вредоносного Програмного обеспечения
Доброе время Вам всем суток! Приветствую тебя дорогой читатель и гость этого моего блога! В этой статье Я хочу Вас проинформировать о самой новой угрозе мошенников
В этом году по самой просьбе одной финансовой организации Глобальный центр исследований
"Лаборатории Касперского" провел здесь криминалистическое расследование самой атаки кибер преступников, которые были направленной против самих банкоматов в Восточной Европе. В ходе самого расследования была обнаружена вредоносная программа, которая позволяет самим злоумышленникам опустошать сами кассеты,с деньгами, в которых хранятся наличные деньги, в банкоматах , путем выполнения самых прямых манипуляций с самим банкоматом. На момент такого проведения самого расследования данная сама вредоносная программа была ещё активна более чем на 50 банкоматах, которые принадлежат восточноевропейским банкам. Изучив сами эти данные по объектам, которые были присланны на проверку в "VirusTotal", был сделан сам вывод, что сама вредоносная программа которая в процессе самого распространения попала и в некоторые страны даже из других регионов, в том числе и США, Индию, и Китай. В силу самой специфики самих устройств, для которых и была предназначена эта данная вредоносная программа, лаборатория пока не располагаем данными из KSN, которая позволяет оценить сам масштаб самого заражения. Однако, судя по самой статистике, которую всё таки удалось собрать в VirusTotal, такие вредоносные сами образцы были присланы из таких следующих стран:
В этом году по самой просьбе одной финансовой организации Глобальный центр исследований
"Лаборатории Касперского" провел здесь криминалистическое расследование самой атаки кибер преступников, которые были направленной против самих банкоматов в Восточной Европе. В ходе самого расследования была обнаружена вредоносная программа, которая позволяет самим злоумышленникам опустошать сами кассеты,с деньгами, в которых хранятся наличные деньги, в банкоматах , путем выполнения самых прямых манипуляций с самим банкоматом. На момент такого проведения самого расследования данная сама вредоносная программа была ещё активна более чем на 50 банкоматах, которые принадлежат восточноевропейским банкам. Изучив сами эти данные по объектам, которые были присланны на проверку в "VirusTotal", был сделан сам вывод, что сама вредоносная программа которая в процессе самого распространения попала и в некоторые страны даже из других регионов, в том числе и США, Индию, и Китай. В силу самой специфики самих устройств, для которых и была предназначена эта данная вредоносная программа, лаборатория пока не располагаем данными из KSN, которая позволяет оценить сам масштаб самого заражения. Однако, судя по самой статистике, которую всё таки удалось собрать в VirusTotal, такие вредоносные сами образцы были присланы из таких следующих стран:
Эта самая новая вредоносная программа, которая была про детектируема самими продуктами "Лаборатории Касперского" как Backdoor.MSIL.Tyupkin, очень актуальна для таких банкоматов, которые выпускает один из самых крупнейших производителей таких подобных устройств, которые работают под самим управлением 32-х разрядной версии от Microsoft Windows. Чтобы постараться избежать здесь обнаружения, эта вредоносная
программа здесь использует несколько самых хитроумных приемов. Прежде всего, она активна
только в самое определенное время то есть ночью. Кроме всего того, для каждой такой сессии здесь используется
ключ, который был с генерируем из выбранного самым случайным образом числа. Без этого ключа само взаимодействие с зараженным таким банкоматом невозможно. При самом вводе правильного ключа вредоносная программа здесь выводит на экран
информацию о самом количестве денег, которые доступны в каждой кассете, и где позволяет самому злоумышленнику, который имеет физический доступ к самому банкомату, и получить 40 купюр из самой выбранной им кассеты. Большинство таких проанализированных образцов были скомпилированы в районе марта месяца этого 2014 года.
Однако сами авторы такой вредоносной программы не стоят здесь на месте. В ее самом последнем варианте "(версии .d)" во вредоносном самом коде была реализована защита от самого анализа, которые осуществляют с самим применением отладчиков и эмуляторов; и кроме всего того, эта сама версия отключает на самой зараженной
системе защиту "McAfee Solidcore."
Анализ
Согласно самим видеоматериалам с самих камер наблюдения, которые были установленных в самих местах размещения этих зараженных банкоматов, к которым злоумышленники и имели саму возможность совершать такие манипуляции с самим банкоматами, и устанавливая сам вредоносный код с самого загрузочного компакт-диска. В самом процессе такой атаки сами преступники скопировали на сам банкомат такие следующие файлы:
C:\Windows\system32\ulssm.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk
После самых определенных проверок самой среды, сама вредоносная
программа здесь удаляет файл с самим расширением .lnk и создает в самом системном реестре такой следующий ключ:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AptraDebug" = "C:\Windows\system32\ulssm.exe"
"AptraDebug" = "C:\Windows\system32\ulssm.exe"
Далее сама вредоносная программа и взаимодействует с самим банкоматом, где используя самую стандартную библиотеку MSXFS.dll – расширение для самих финансовых сервисов "(Extension for Financial Services – XFS)." Вредоносная сама программа запускает здесь бесконечный цикл самого ожидания пользовательского ввода. Чтобы постараться усложнить ее обнаружение, Tyupkin принимает (по умолчанию) сами команды только ночью и в
воскресенье, и понедельник. Допустимы такие следующие команды:
·
XXXXXX – показать главное окно.
·
XXXXXX – удалить вредоносную программу с устройства с помощью
пакетного файла.
·
XXXXXX – продлить период активности вредоносной программы.
·
XXXXXX – скрыть главное окно.
После самого ввода каждой такой команды оператор здесь должен
нажать на клавишу "Enter" на самой цифровой панели самого банкомата. Кроме всего того, Tyupkin использует здесь сессионные ключи, чтобы постараться исключить здесь взаимодействие с самыми случайными пользователями. После самого ввода команды "Показать главное
окно" вредоносная программа выводит здесь сообщение "ENTER SESSION KEY TO
PROCEED!" (для самого продолжения введите здесь сессионный ключ). При всем этом для каждой такой сессии ключ здесь генерируется из самого выбранного случайным образом самого числа. Оператор такой вредоносной программы здесь должен знать сам алгоритм, который позволяет сгенерировать сам сессионный ключ из показанного на самом экране числа. Взаимодействие с таким зараженным
банкоматом здесь возможно только после самого успешного такого ввода этого ключа. Затем сама вредоносная программа выводит здесь следующее
сообщение:
CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION -
ENTER CASSETTE NUMBER AND PRESS ENTER.
(Перевод: Кассовая операция разрешена.
Чтобы запустить операцию по выдаче наличных –
введите номер кассеты и нажмите Enter)
TO START DISPENSE OPERATION -
ENTER CASSETTE NUMBER AND PRESS ENTER.
(Перевод: Кассовая операция разрешена.
Чтобы запустить операцию по выдаче наличных –
введите номер кассеты и нажмите Enter)
После самого выбора оператором здесь номера кассеты сам банкомат
выдает 40 купюр из нее.
Если будет введен здесь неверный сессионный ключ, то сама вредоносная программа здесь отключает локальную сеть и выводит такое следующее сообщение:
DISABLING LOCAL AREA NETWORK...
PLEASE WAIT...
(Перевод: Отключаю локальную сеть…
Пожалуйста, подождите…)
PLEASE WAIT...
(Перевод: Отключаю локальную сеть…
Пожалуйста, подождите…)
Не совсем вполне здесь ясно, для чего сама вредоносная программа здесь отключает саму локальную сеть. Вероятно, это скорее всего делается здесь для того, чтобы постараться задержать или здесь усложнить само удаленное расследование самого инцидента.
Это видио которое позволяет увидеть саму программу в работе :
Заключение
В самые последние несколько лет был зафиксирован очень серьезный рост числа самих атак на банкоматы с самим использованием скимеров и самих вредоносных
программ. После самого появления и наделавших большого шума сообщений о самой краже финансовых данных
по всему миру через сами банкоматы с помощью самих скимеров то правоохранительные органы и самых разных стран приняли здесь очень серьезные меры, и результатом здесь которых стал сам арест и счамо судебное
преследование самих кибер преступников. О том, что сами кибер преступникам и удается с помощью самих скиммеров здесь тайно считывать сами данные с кредитных и дебетовых карт, когда сами клиенты их вставляют их в банкоматы, котрые были установлены в самих отделениях банков или на самих заправках,
теперь уже хорошо известно. Благодаря всему этому многие клиенты самих банков поняли, что надо здесь быть начеку и постораться принимать самые необходимые меры предосторожности при самом пользовании
банкоматов Теперь уже видно здесь естественное развитие самой этой угрозы. Кибер преступники уже здесь перемещаются
по самой цепочке выше и уже атакуют здесь сами финансовые учреждения – это путем самого прямого заражения самих банкоматов или самой организации атак, это подобных APT (Advanced Persistent Threat) на строены против самих банков. Вредоносная сама программа Tyupkin – это всего лишь только один пример всего того, как сами злоумышленники переходят уже на более самый высокий уровень и
находят самые слабые места в самой инфраструктуре банкоматов. Тот сам факт, что очень многие банкоматы Которые работают под самим управлением операционных систем с известными уязвимостями, а также и без
специализированных самих защитных решений – и еще одна проблема, решение которой здесь необходимо найти как можно очень скорее. Рекомендуем самим банкам постараться пересмотреть сами меры физической защиты своих банкоматов и также подумать о самом вложении средств в самые качественные решения для самой защиты от кибер угроз.
Источник "" Лаборатория Касперского""
Источник "" Лаборатория Касперского""
Комментариев нет:
Отправить комментарий