بدافزار آلیس: سرقت تمام پول‌های نقد دستگاه‌های خودپرداز

محققان امنیتی ترندمیکرو هشدار دادند، خانواده‌ی جدیدی از بدافزارهای ATM کشف شده که پول نقد موجود در صندوق ماشین‌های خودپرداز را خالی می‌کند.

بدافزارآلیس ساده‌ترین بدافزار ATM است که تاکنون مشاهده شده است. این بدافزار هیچ‌گونه قابلیت سرقت اطلاعاتی ندارد و از طریق صفحه‌ کلید عددی ATM قابل کنترل نیست. این بدافزار اولین بار در نوامبر ۲۰۱۶ کشف شد و حدس زده می‌شود بدافزار آلیس از سال ۲۰۱۴ وجود داشته است. محققان ترندمیکرو معتقدند این هشتمین بدافزار ATM است که مشاده شده ولی به‌هرحال ۹ سال است که بدافزارها دستگاه‌های ATM را هدف قرار می‌دهند.

استفاده از این بدافزار نیازمند این است که به دستگاه ATM دسترسی فیزیکی وجود داشته باشد. ترندمیکرو حدس می‌زند هدف اصلی این بدافزار به سرقت بردن تمام پول نقد موجود در صندوق دستگاه ATM است. مشابه چنین حمله‌ای سال قبل توسط بدافزار GreenDispenser انجام شد.
این بدافزار به پد پین دستگاه ATM متصل نمی‌شود و می‌تواند از طریق پروتکل رومیزی راه دور (RDP) مورد استفاده قرار بگیرد هرچند ترندمیکرو می‌گوید تاکنون شواهدی مبنی بر چنین استفاده‌ای را مشاهده نکرده است.

تحلیل‌های بدافزار نشان می‌دهد که آلیس با استفاده از یک بسته‌بندی‌کننده و مبهم‌ساز تجاری با نام VMProtect بسته‌بندی شده است. این کار باعث می‌شود از اجرای بدافزار در محیط‌های اشکال‌یابی جلوگیری شود. علاوه بر این، بدافزار پیش از اجرا شدن، محیط خود را مورد بررسی قرار می‌دهد و اگر محیط اجرایی دستگاه ATM نبود به فرآیند خود خاتمه می‌دهد.

در هنگام اجرای بدافزار در ماشین ATM، بدافزار آلیس دو پرونده را در دایرکتوری ریشه می‌نویسد، یک پرونده‌ی خالی با اندازه‌ی ۵ مگابایت با نام xfs_supp.sys و یک پرونده‌ی ثبت خطا با نام TRCERR.LOG. بعد از آن بدافزار به محیط CurrencyDispenser۱ متصل می‌شود. این محیط یک دستگاه تلگراف در محیط XFS است. در ادامه اگر پین درستی ارائه شود، این محیط اطلاعات موجود بر روی نوار کاست و پول‌های بارگذاری‌شده در ماشین را نمایش می‌دهد.

به دلیل اینکه بدافزار تنها به محیط CurrencyDispenser۱ متصل می‌شود و برای استفاده از پد پین ماشین تلاش نمی‌کند، محققان معتقدند، مهاجمان می‌توانند از طریق USB و یا CD-ROM دستگاه ATM را باز کرده و آن را آلوده کنند. علاوه بر این، محققان حدس می‌زنند مهاجمان صفحه کلیدی را به مادربرد دستگاه متصل کرده و بدافزار را راه‌ می‌اندازند.

محققان امنیتی کشف کردند که بدافزار آلیس از ۳ دستور پشتیبانی می‌کند که هر کدام با یک پین مشخص صادر می‌شود. یکی برای نصب پرونده‌ای برای حذف کردن بدافزار، یکی برای خروج از برنامه و اجرای روال پاک‌سازی و خاتمه و سومی برای باز کردن پنل عملیاتی. این پنل مکانی است که اطلاعات مربوط به مبلغ موجود در ماشین، در آن برای مهاجمان نمایش داده می‌شود.

مهاجم تنها نیاز دارد تا شناسه‌ی کاست را در ماشین ATM وارد کرده و ماشین تمام پول‌ها را توزیع کند. دستور توزیع پول از طریق API WFSExecute برای محیط CurrencyDispenser۱ ارسال می‌شود. به‌خاطر اینکه اکثر بانک‌ها محدودیت ارائه‌ی ۴۰ اسکناس را دارند، مهاجمان باید عملیات یکسانی را چندین بار انجام دهند تا کل پول‌های موجود در صندوق خالی شود. به‌طور پویا اطلاعات مربوط به پول‌های برداشت‌شده در ATM نمایش داده شده و مهاجم خواهد فهمید چه زمانی صندوق ماشین خالی شده است.

محققان ترندمیکرو معتقدند مهاجمان به‌طور دستی با استفاده از بدافزار در ماشین ATM هدف، مدیر وظایف ویندوز را جابجا می‌کنند چرا که بدافزار در سامانه‌های آلوده در قالب taskmgr.exe یافت شده است. این بدافزار هیچ‌گونه سازوکار ماندگاری ندارد اما به‌عنوان مدیر وظایف اجرا می‌شود، به‌عبارت دیگر هر وقت دستور اجرای مدیر وظایف صادر شود، بدافزار آلیس فراخوانی خواهد شد.

سامانه‌ی احراز هویت پین مشابه روشی است که در سایر خانواده‌های بدافزاری ATM مورد استفاده قرار گرفته است ولی در بدافزار آلیس، سامانه‌ی احراز هویت این امکان را به نویسنده می‎دهد که بر روی کسانی که به آلیس دسترسی داشته‌اند، کنترل داشته باشد. با تغییر دادن کد دسترسی در نمونه‌های مختلف بدافزار، نویسندگان از اشتراک‌گذاری کد و ردیابی افراد جلوگیری می‌کنند.

در نمونه‌های تحلیل‌شده از ۴ رقم برای کلمه‌ی عبور استفاده شده است اما نمونه‌های دیگر می‌توانند از پین طولانی‌تری استفاده کنند. بر روی پین نمی‌توان جستجوی فراگیر انجام داد چرا که این بدافزار قبل از خاتمه دادن به فرآیند خود، تعداد محدودی پین را قبول می‌کند و در انتها یک پیام خطا را نمایش می‌دهد. محققان معتقدند آلیس می‌تواند بر روی هر سخت‌افزاری که دارای میان‌افزار سرویس مالی توسعه‌یافته‌ی مایکروسافت (XFS) باشد، اجرا شود.

محققان ترندمیکرو می‌گویند: «بدافزارهای ATM تا همین اواخر در دسته‌ی بسیار کوچکی از دنیای بدافزاری قرار داشتند و تنها توسط گروه‌های انگشت‌شماری در حملات هدف‌مند مورد استفاده قرار می‌گرفتند. ولی در حال حاضر شاهد هستیم که بدافزارهای ATM در جریان اصلی تهدیدات قرار دارند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.