Новости













Новости

RSS-трансляция Читать в FaceBook Читать в Twitter Читать в ВКонтакте Читать в LiveJournal


30.12.2016 22:30
2107
Появились подробности о малвари Alice, которая заставляет банкоматы «выплевывать» деньги

Эксперты компании Trend Micro рассказали, что в рамках совместного расследования с Европолом им удалось обнаружить и изучить семейство вирусов для банкоматов. Вредоносная программа получила название Alice.

Вирус был обнаружен в ноябре 2016 года, однако ряд признаков позволяют предположить, что Alice создали в 2014 году. Приложение позволяет преступникам при наличии физического доступа к банкомату похищать с него денежные средства. По мнению экспертов, вирус способен атаковать любые банкоматы, использующие технологию XFS (Microsoft Extended Financial Services).

Анализ алгоритма работы Alice показал, что злоумышленникам необходим физический доступ к CD-ROM или USB банкомата (для загрузки вредоносного кода). Далее необходимо подключить к системной плате стандартную клавиатуру, поскольку вредоносная утилита не способна взаимодействовать с встроенным клавиатурным блоком.

Для защиты вредоносных модулей использовался обфускатор и упаковщик VMProtect. Перед запуском вирус проверяет, что находится именно в программной среде банкомата, для чего проверят доступность специфических DLL и специальных записей в реестре.

После запуска программа создает два файла в корневой директории: журнал фиксации ошибок (TRCERR.LOG) и файл xfs_supp.sys (пустой). Далее происходит подключение к периферии CurrencyDispenser1 и запрос PIN-кода. Если введен корректный PIN, на дисплее устройства демонстрируется информация о кассетах с наличными средствами, загруженных в банкомат.

Специалисты выяснили, что вредоносное приложение поддерживает три команды, каждая из которых требует подтверждения собственным PIN-кодом. Первая инструкция обеспечивает расшифровку и загрузку файла sd.bat в определенный каталог. Файл обеспечивает деинсталляцию Alice. Вторая команда инициирует выход из приложения и запуск стирания вируса. Третья команда открывает панель администратора, которая и позволяет получить информацию о наличии денежных средств.

Для кражи денежных средств преступнику достаточно ввести номер кассеты, после чего терминал выдаст деньги. Исследователи считают, что PIN-коды, которые уникальны для каждого образца, используются для дополнительной защиты – это позволяет предотвратить свободное распространение вируса.





Нравится






Поделиться ссылкой

Гость, тут код для блога в LiveJournal, Я.ру или LiveInternet



Также читайте


Оставить комментарий