بازگشت اولین بدافزار خودپرداز و جدی‎تر شدن تهدید آن

مجرمان سایبری دوباره به زنجیره‌ای از بدافزارهای خودپرداز مجهز شدند که اولین بار در سال ۲۰۰۹ کشف شد و اکنون به یک تهدید بالقوه‌ی خطرناک‎تر از قبل تبدیل شده است. بدافزار Skimer اولین برنامه مخربی بود که به خودپردازها حمله می‌کرد. هفت سال بعد، مجرمان سایبری روسی دوباره از این بدافزار استفاده کرده‌اند اما این بار، هم تبهکاران و هم خود برنامه تکامل یافته‌اند تا حتی به عنوان تهدیدی قوی‌تر برای بانک‌ها و مشتریان آن‎ها در سراسر جهان ظاهر شوند.
تیم کارشناسی آزمایشگاه کسپرسکی ردپای یک نسخه بهبودیافته از بدافزار Skimer را روی یکی از خودپردازهای بانکی کشف کرده است. این بدافزار روی خودپرداز قرار می‌گیرد و تا زمانی که مجرمان سایبری پیام کنترل‎کننده را برای آن نفرستند، غیرفعال می‌ماند. این تکنیک به مجرمان یک مکانیسم مؤثر برای پنهان کردن حقه خود ارائه می‌کند.
یک حمله‌ی Skimer با دسترسی به سامانه ATM شروع می‌شود حال این دسترسی چه از طریق فیزیکی باشد یا از طریق شبکه درونی بانکی. سپس بعد از نصب موفقیت‌آمیز Skimer روی سامانه، هسته‌ی خودپرداز آلوده می‌شود. این بدافزار با فرآیندهایی که مسئول تراکنش‌های سامانه با زیرساخت بانکی، فرآیند پردازش پول نقد و کارت‌های اعتباری هستند، همراه شده است.
سپس مجرمان می‌توانند کنترل کاملی روی دستگاه‌های خودپرداز آلوده داشته باشند. اما آن‎ها با احتیاط عمل می‌کنند. به محض اینکه یک دستگاه خودپرداز با در ِ پشتی Skimer آلوده شد، مجرمان می‌توانند تمام وجوه خودپرداز را دریافت کرده و یا داده‌های کارت‌هایی را که به وسیله این دستگاه استفاده شده‌اند، استخراج کنند که شامل شماره حساب های بانکی مشتری و پین کدهای آنان است. این بدافزار به صورت مخفیانه، همچون یک مأمور مخفی مشغول جمع‌آوری اطلاعات است تا زمانی که فعال شود.
همچنان‎که کارشناسان کسپرسکی می‌گویند، تبهکاران از یک روش خاص برای بازگرداندن داده‌ها استفاده می‌کنند:
برای فعال کردن این بدافزار، مجرمان یک کارت خاص را وارد می‌کنند که رکوردهای خاصی در درون نوار مغناطیسی آن است. بعد از خوانده شدن این رکوردها، Skimer می‌تواند فرمان‌های تعبیه‎شده را اجرا کند و یا فرمان‌های درخواستی را از طریق یک فهرست خاص به وسیله‌ی کارت فعال کند. رابط کاربری تصویری Skimer تنها هنگامی که کارت خارج شود و مجرمان بخش صحیح کلید را از دستگاه پایانه شعب در داخل یک فرم خاص در کمتر از ۶۰ ثانیه قرار دهند، روی صفحه ظاهر می‌شود.
با کمک این فهرست، مجرمان می‌توانند ۲۱ فرمان مختلف را فعال کنند، همچون توزیع پول (۴۰ صورت‎حساب از یک فهرست خاص)، جمع‌آوری جزئیات کارت‌های قرار داده شده، پاک کردن خودکار، به‎روزرسانی (کد بدافزار به‎روزرسانی شده در درون تراشه کارت) و غیره. هنگامی که جزئیات کارت جمع‌آوری شد، Skimer می‌تواند پرونده‎ها را با رمزهای عبور روی تراشه‌ی همان کارت ذخیره کند و یا می‌تواند جزئیات کارت‌هایی را که جمع‌آوری شده است روی رسید خودپرداز ذخیره کند.
داده‌های سرقت شده از کارت‌ها می‌تواند برای ایجاد نسخه‌های تقلبی از این کارت‌ها بعدها به کار رود، فرایندی که با نوآوری‌هایی در کد و تراشه بسیار مشکل شده است اما هنوز هم در بسیاری از مناطق جغرافیایی کاربرد دارد.
Skimer اولین بار به صورت گسترده مابین سالهای ۲۰۱۰ تا ۲۰۱۳ شروع به فعالیت کرد. ظهور آن‎ها موجب ایجاد زنجیره‌های دیگری از بدافزارهای خودپرداز نظیر خانواده Tyupkin که در ماه مارس ۲۰۱۴ کشف شده، و تبدیل به معمول‌ترین و گسترده‌ترین تهدید از نوع خود شده بود، گردید. امسال اما گانگستر جهان بدافزارهای خودپرداز با ارائه‌ی Skimer بازگشته است.
در حال حاضر آزمایشگاه کسپرسکی ۴۹ تغییر از بدافزارهای Skimer را شناسایی کرده که ۳۷ مورد از آن‎ها به خودپردازها حمله می‌کنند و تنها یکی از آن‎ها از یک سازنده‌ی عمده بوده است. جدیدترین نسخه‌ی آن‎ها در ابتدای ماه می سال ۲۰۱۶ کشف شده است.
با کمک نمونه‌های ارائه شده به VirusTotal تصویری از یک توزیع جغرافیایی بسیار وسیع‌تر از خودپردازهای آلوده شده را می‌توان دید. آخرین ۲۰ نمونه‌ از خانواده‌‌ی Skimer در بیش از ده نقطه مختلف جغرافیایی در دنیا ثبت شده‌اند:
امارات متحده عربی، فرانسه، آمریکا، روسیه، ماکائو، چین، فیلیپین، اسپانیا، آلمان، گرجستان، لهستان، برزیل و جمهوری چک. این نمونه‌ها یا از بانک و یا از یک طرف ثالثی که در مورد آلودگی‌های مشکوک تحقیق می‌کرده است، ثبت شده‌اند.
جزییات بیشتر در مورد این تحقیق را می‌توان از وبلاگ محققان امنیتی آزمایشگاه کسپرسکی الگا کوچتوا و الکسی اوسیپوف مطالعه کرد که در آن ویژگی‌های کدهای نوشته شده و شاخص‎های سازگاری مرتبط با بدافزار شرح داده شده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap