Немного о вирусах для АТМ

Описание и принципы работы:

Ploutus

• Вредоносное программное обеспечение инсталлируется путем доступа к системному блоку компьютера банкомата, в USB порт которого вставляется flash-память и под рабочей записью запускается исполняемый файл.

• Осуществляется взаимодействие с оборудованием банкомата на уровне драйверов. Из транзакций перехватывается 2-ой трек и ПИН-блок. ПИН-блок расшифровывается на ПИН-клавиатуре (штатная функция, в том числе для EPP). Возможность выдачи команд на прямую выдачу наличных из кассет.

• Уязвимость по расшифровыванию ПИН-блока закрыта, возможность копирования треков и выдача наличных сохраняются.

– Атака на устройство выдачи наличных, компрометации ПИН и трек не происходит.

– Осуществляется загрузка операционной системы с внешнего источника: USB, CD-ROM/

– Выводятся из строя программы контроля целостности или антивирусные.

– Подменяются системные DLL и прописываются в реестре.

– Банкомат перезагружается.

– Вредоносное ПО отслеживает нажатия на ПИН-клавиатуре:

• 12-значный код активации,

• на экран выводится случайный код

• в ответ на который необходимо ввести 6-значныйкод

Backdoor.Padpin (Wincor)

Используемые уязвимости:

нет пароля на BIOS,

• стандартный пароль администратора,

• нет защитного ПО,

• клавиатура ЕРР не PCI PTS,

• клавиатура ЕРРPCI PTS, но работала в режиме не PCI PTS (Legacy).

– Копируются каталоги программ и кусты реестра на карту памяти.

– Похищенная информация инсталлируется (встраивается) в специальное программное обеспечение на ноутбуке, к которому подключается

диспенсер.

– На диспенсер посылается команда выдачи наличных денежных средств.

"Линейка" USB Storage + HID использовалась на Diebold

USB Storage + HID: Устройство вставляется через картдридер и с помощью манипулятора подключается к USB порту. Устанавливается вредоносное ПО

http://s8.hostingkartinok.com/upload…a1824f8f21.jpg

На картинке изображена, так называемая, линейка – устройство, на конце которого находился usb переходник. Устройство имело данную форму, потому как usb порт в банкомате находился в самом конце картоприемника, изображенного на рисунке 4. Подключение устройства осуществлялось путем введения пластины нужной длинны в картоприемник до упора и взаимодействия с внутренним содержимым через usb порт.

Black Box атака

– Выключается банкомат, вскрывается верхний кабинет. Отключается диспенсер от USB хаба, в хаб ставится заглушка, которая имитирует диспенсер.

– Диспенсер подключается к смартфону со специальным приложением для принятия удаленных команд для управления диспенсером.

– Банкомат включается и выходит в рабочий режим обслуживания клиента (можно проверить баланс и осуществить операции без выдачи наличных).

Backdoor.MSIL.Tyupkin

– вредоносный код устанавливается с загрузочного компакт-диска или внешнего носителя

– отключает на зараженной системе защиту антивируса

– вредоносная программа запускает бесконечный цикл ожидания пользовательского ввода

– для каждой сессии используется ключ, генерируемый из выбранного случайным образом числа

– при вводе правильного ключа вредоносная программа выводит на экран информацию о количестве денег, доступных в каждой кассете диспенсера

– позволяет получить 40 купюр из выбранной им кассеты

Backdoor.Win32.Skimer

Превращает банкомат в скиммер. Прародитель – "батя" всех нынешних вирусов

– активируется вводом в банкомат карты с определенными данными на треке чиповой карты (Track 2)

– выполнение команд через интерфейс, выполнение команды закодированной на треке 2

– после возврата карты за определенное время вводится сессионный ключ для аутентификации пользователя

– после аутентификации программа выполняет команды, вводимые с клавиатуры пин пада

функционал:

"Показать подробную информацию об установке вредоносной программы"
"Выдать денежные средства – 40 купюр из указанной кассеты"
"Начать сбор данных вставляемых карт"
"Распечатать собранные данные о картах"
"Выполнить самоудаление"
"Включить режим отладки"
"Выполнить обновление (обновленный вредоносный код записан на карту)"

"RIPPER" схож с предыдущим троем, был замечен на ncr и wincor

– активируется в зараженном банкомате при помощи специально созданной карты с EMV-чипом

– может контролировать работу кардридера

– способен отключать сетевой интерфейс банкомата

– удаляет за собой следы активной деятельности

– возможна выдача более 40 купюр за один раз

Backdoor.ATM.Suceful

– Работает с банкоматами Diebold и NCR

– Чтение и отслеживание всех данных кредитных и дебетовых карт

– Чтение данных с чиповых карты

– Управление вредоносной программой через PIN PAD банкомата

– Управление удержанием или выдачей карты по требованию в банкомате (может использоваться для физической кражи карт)

– Подавление датчиков банкомата, чтобы не быть обнаруженным

4 комментария к “Немного о вирусах для АТМ”

  1. Часто терзаетесь по проблемы, то что же запустить интригующее у ближайшее час? На источнике особенного также разного кинолент на Kinogo Затерянный мир (2009) смотреть онлайн бесплатно юзеры могут легко обнаружить подходящий тип киноленты любимого жанра касательно подмогой интерфейса навигации, отбора или окна серча. Сайт детально продумали взамен пользователей затем произвели поиск нового кино намного проще, по первой вкладке зрители сможете просмотреть вновь вышедшие кино, известные мультисериалы также рекордно высокие прокаты, а в период если захотите оценить фрагменты мировых короткометражек данного периода, тогда передвигайтесь у раздел «В скором времени в кино» и включайте вполне новинки сериалы в киноафише.
    Краткое воссоздание сюжета, сделанный показатель от любителей кино плюс открытые комментарии подсказывают Вам подобрать фильм, который будет по душе не лишь Вам, однако и большинству друзьям. Заходите затем ищите качественные фильмы прямо в данный момент!

    Ответить
  2. 1xbet собственно на настоящее час самый мировой площадка виртуальных букмекеров, тот что предоставляет выполнимость клиентам зарабатывать через интернет игры в карты плюс делать ставки букмекеров на спортивных игр на благоприятных обстановке. Кроме такого сейчас 1xbet строит зачисление огромной числа бонусов на счет в момент создания учетной записи из помощью официального кода, тот что активизируется, собственно как только игрок осуществит шаг оформления. Дебютный вознаграждение извлекают любые новые игроки у числе точных 30%, он составит вознаграждение в числе 32500 тысячи рублей, те что игрок может использовать на казино. По этому страничке промокод для 1 x bet пользователи увидите вовсе не только лишь единые промокод, однако плюс развернутое инструкция использования указанной акции, денежных бонусов также депозита. Простая регистрации всего в пару нажатий – самый возвожный план получения денег по промокоду, поэтому кликайте на страничку и вводите бесплатный комбинацию специально для спорт выигрыш.

    Ответить
  3. Большинство желают одерживать приятные предложения в лице увеличение счета, от этого всемирный букмекерская контора Malbet никогда не стоит у сторонке затем презентует под своих первых участников разовое стимул у формате бонуса в числе 10400 рублей момент вписания промокода. Увидеть промокод достаточно нетрудно благодаря данному веб-сайт промокод при регистрации мелбет, каков пошагово прописывает инструктаж получения также применения подходящего промокода текущего года, который преподносит способ гарантированно получить бонусный счет у виде десяти тысяч четыреста руб при регистрирования, деньги Вы имеет возможность поставить на спорт с высоким процентом. Здесь на данном источнике абоненты получат возможность увидеть пароль специально для получения приза к актив у игровые кости Malbet или же под заработок именно на спорт. Действующий промокод действует до завершению уходящего года, Вы можете указать его лично или скинуть с близкими и знакомыми, те что тоже смогут ввести его в период регистрации.

    Ответить

Оставьте комментарий