Немного о вирусах для АТМ

Описание и принципы работы:

Ploutus

• Вредоносное программное обеспечение инсталлируется путем доступа к системному блоку компьютера банкомата, в USB порт которого вставляется flash-память и под рабочей записью запускается исполняемый файл.

• Осуществляется взаимодействие с оборудованием банкомата на уровне драйверов. Из транзакций перехватывается 2-ой трек и ПИН-блок. ПИН-блок расшифровывается на ПИН-клавиатуре (штатная функция, в том числе для EPP). Возможность выдачи команд на прямую выдачу наличных из кассет.

• Уязвимость по расшифровыванию ПИН-блока закрыта, возможность копирования треков и выдача наличных сохраняются.

– Атака на устройство выдачи наличных, компрометации ПИН и трек не происходит.

– Осуществляется загрузка операционной системы с внешнего источника: USB, CD-ROM/

– Выводятся из строя программы контроля целостности или антивирусные.

– Подменяются системные DLL и прописываются в реестре.

– Банкомат перезагружается.

– Вредоносное ПО отслеживает нажатия на ПИН-клавиатуре:

• 12-значный код активации,

• на экран выводится случайный код

• в ответ на который необходимо ввести 6-значныйкод

Backdoor.Padpin (Wincor)

Используемые уязвимости:

нет пароля на BIOS,

• стандартный пароль администратора,

• нет защитного ПО,

• клавиатура ЕРР не PCI PTS,

• клавиатура ЕРРPCI PTS, но работала в режиме не PCI PTS (Legacy).

– Копируются каталоги программ и кусты реестра на карту памяти.

– Похищенная информация инсталлируется (встраивается) в специальное программное обеспечение на ноутбуке, к которому подключается

диспенсер.

– На диспенсер посылается команда выдачи наличных денежных средств.

"Линейка" USB Storage + HID использовалась на Diebold

USB Storage + HID: Устройство вставляется через картдридер и с помощью манипулятора подключается к USB порту. Устанавливается вредоносное ПО

http://s8.hostingkartinok.com/upload…a1824f8f21.jpg

На картинке изображена, так называемая, линейка – устройство, на конце которого находился usb переходник. Устройство имело данную форму, потому как usb порт в банкомате находился в самом конце картоприемника, изображенного на рисунке 4. Подключение устройства осуществлялось путем введения пластины нужной длинны в картоприемник до упора и взаимодействия с внутренним содержимым через usb порт.

Black Box атака

– Выключается банкомат, вскрывается верхний кабинет. Отключается диспенсер от USB хаба, в хаб ставится заглушка, которая имитирует диспенсер.

– Диспенсер подключается к смартфону со специальным приложением для принятия удаленных команд для управления диспенсером.

– Банкомат включается и выходит в рабочий режим обслуживания клиента (можно проверить баланс и осуществить операции без выдачи наличных).

Backdoor.MSIL.Tyupkin

– вредоносный код устанавливается с загрузочного компакт-диска или внешнего носителя

– отключает на зараженной системе защиту антивируса

– вредоносная программа запускает бесконечный цикл ожидания пользовательского ввода

– для каждой сессии используется ключ, генерируемый из выбранного случайным образом числа

– при вводе правильного ключа вредоносная программа выводит на экран информацию о количестве денег, доступных в каждой кассете диспенсера

– позволяет получить 40 купюр из выбранной им кассеты

Backdoor.Win32.Skimer

Превращает банкомат в скиммер. Прародитель – "батя" всех нынешних вирусов

– активируется вводом в банкомат карты с определенными данными на треке чиповой карты (Track 2)

– выполнение команд через интерфейс, выполнение команды закодированной на треке 2

– после возврата карты за определенное время вводится сессионный ключ для аутентификации пользователя

– после аутентификации программа выполняет команды, вводимые с клавиатуры пин пада

функционал:

"Показать подробную информацию об установке вредоносной программы"
"Выдать денежные средства – 40 купюр из указанной кассеты"
"Начать сбор данных вставляемых карт"
"Распечатать собранные данные о картах"
"Выполнить самоудаление"
"Включить режим отладки"
"Выполнить обновление (обновленный вредоносный код записан на карту)"

"RIPPER" схож с предыдущим троем, был замечен на ncr и wincor

– активируется в зараженном банкомате при помощи специально созданной карты с EMV-чипом

– может контролировать работу кардридера

– способен отключать сетевой интерфейс банкомата

– удаляет за собой следы активной деятельности

– возможна выдача более 40 купюр за один раз

Backdoor.ATM.Suceful

– Работает с банкоматами Diebold и NCR

– Чтение и отслеживание всех данных кредитных и дебетовых карт

– Чтение данных с чиповых карты

– Управление вредоносной программой через PIN PAD банкомата

– Управление удержанием или выдачей карты по требованию в банкомате (может использоваться для физической кражи карт)

– Подавление датчиков банкомата, чтобы не быть обнаруженным

Оставьте комментарий