GreenDispenser | Malware avançado esvazia caixas eletrônicos

Pesquisadores de segurança descobriram uma nova família de malware que tem como alvo caixas eletrônicos no México, permitindo que os invasores insiram dois códigos PIN especiais na máquina de destino e esvaziem suas reservas de caixa.

ATM - Malwares avançados esvaziam caixas eletrônicos

O malware foi detectado e analisado pela primeira vez por especialistas em segurança da Proofpoint, que encontraram semelhanças com o malware ATM Padpin, que ataca principalmente na Rússia e na Europa Oriental e foi detectado pelos pesquisadores da Kaspersky em outubro de 2014.

O novo malware ATM, também conhecido como GreenDispenser, possui recursos avançados que tornam extremamente difícil a detecção e também pode ser desativado após um certo período de tempo para que não seja percebido.

Segundo a Proofpoint, a instalação do malware requer acesso fĂ­sico ao caixa eletrĂ´nico, o que faz com que os pesquisadores acreditem que as pessoas possam estar envolvidas “de dentro” ou que a equipe do banco talvez nĂŁo seja capaz de detectar as alterações feitas no banco de dados. ATM ao instalar malware.

Felizmente, existe uma maneira simples de identificar caixas eletrĂ´nicos infectados que exibem a mensagem falsa “Temporalmente fuera de Servicio”, que em espanhol significa “Temporariamente fora de serviço”.

Uma vez instalado, o GreenDispenser usa o middleware XFS, permitindo que os invasores interajam com o código de malware do teclado PIN do ATM. Esse recurso é crítico porque o malware é projetado para esvaziar caixas eletrônicos depois de receber comandos especialmente projetados, que só podem ser dados pelos invasores após uma identificação bem-sucedida.

Os atacantes usam dois códigos PIN para identificá-los

A identificação é feita digitando um PIN, que é codificado no código de malware e, em seguida, é necessário um PIN secundário, que, segundo os pesquisadores da Proofpoint, é obtido a partir da etiqueta de código de barras existente em cada caixa eletrônico.

O software malicioso também vem com um recurso de exclusão profunda, que os invasores podem usar para excluir seus rastreamentos depois de esvaziarem o ATM.

Por fim, caso não seja possível acessar o caixa eletrônico por vários motivos, o malware possui uma medida de proteção secundária, que é codificada no código fonte. Mais especificamente, toda vez que o GreenDispenser inicia, ele verifica o ano e o mês e, se as datas não corresponderem aos valores passados ​​em seu código, ele não será executado. Esse mecanismo permite que ele permaneça oculto até que seja atualizado pelos invasores para uma versão mais recente ou até que seja excluído por eles mais tarde, a fim de cobrir seus rastros.