Eρευνητές ασφάλειας έχουν ανακαλύψει μια νέα οικογένεια malware, η οποία στοχεύει ATM στο Μεξικό, επιτρέποντας στους επιτιθέμενους να εισάγουν δύο ειδικούς κωδικούς PIN στο μηχάνημα-στόχο και να αδειάσουν τα αποθεματικά του σε μετρητά.
Το κακόβουλο λογισμικό επισημάνθηκε για πρώτη φορά και αναλύθηκε από εμπειρογνώμονες ασφάλειας της Proofpoint, οι οποίοι διαπίστωσαν ομοιότητες με το ATM malware Padpin, που χτυπά κυρίως σε Ρωσία και Ανατολική Ευρώπη και ανιχνεύτηκε από ερευνητές της Kaspersky τον Οκτώβριο του 2014.
Το νέο ΑΤΜ malware, γνωστό και ως GreenDispenser, φέρει προηγμένα χαρακτηριστικά που καθιστούν εξαιρετικά δύσκολη την ανίχνευσή του, και έχει επίσης τη δυνατότητα να απενεργοποιείται μετά από ένα ορισμένο χρονικό διάστημα ώστε να μην γίνεται αντιληπτό.
Σύμφωνα με την Proofpoint, για την εγκατάσταση του malware απαιτείται φυσική πρόσβαση στο ΑΤΜ, γεγονός που κάνει τους ερευνητές να πιστεύουν ότι μπορεί να εμπλέκονται άτομα «εκ των έσω», ή ότι το προσωπικό της τράπεζας δεν είναι σε θέση να εντοπίζει τροποποιήσεις που έγιναν στο ΑΤΜ κατά την εγκατάσταση του κακόβουλου λογισμικού.
Ευτυχώς, υπάρχει ένας απλός τρόπος για την αναγνώριση των μολυσμένων ΑΤΜ, τα οποία εμφανίζουν το ψεύτικο μήνυμα «Temporalmente fuera de Servicio» που στα ισπανικά σημαίνει «Προσωρινά εκτός λειτουργίας».
Αφού εγκατασταθεί, το GreenDispenser χρησιμοποιεί το ΧFS middleware, επιτρέποντας στους εισβολείς να αλληλεπιδρούν με τον κώδικα του κακόβουλου λογισμικού από το πληκτρολόγιο PIN του ΑΤΜ. Η συγκεκριμένη λειτουργία είναι κρίσιμης σημασίας, διότι το κακόβουλο λογισμικό έχει σχεδιαστεί ώστε να αδειάζει τα ATM κατόπιν λήψης ειδικά διαμορφωμένων εντολών, οι οποίες μπορούν να δοθούν από τους εισβολείς μόνο μετά από επιτυχή ταυτοποίηση.
Οι επιτιθέμενοι χρησιμοποιούν δύο κωδικούς PIN για την ταυτοποίησή τους
Η ταυτοποίηση γίνεται πληκτρολογώντας ένα PIN, το οποίο είναι hard-coded στον κώδικα του κακόβουλου λογισμικού, ενώ στη συνέχεια απαιτείται ένα δευτερεύον PIN, το οποίο σύμφωνα με τους ερευνητές της Proofpoint αποκτάται από την ετικέτα barcode που υπάρχει σε κάθε ΑΤΜ.
Το κακόβουλο λογισμικό έρχεται επιπλέον με μια βαθιά λειτουργία διαγραφής, που οι επιτιθέμενοι μπορούν να αξιοποιήσουν για να διαγράψουν τα ίχνη τους αφότου έχουν αδειάσει το ΑΤΜ.
Τέλος σε περίπτωση που δεν είναι δυνατό να επιτευχθεί η πρόσβαση στο ΑΤΜ για διάφορους λόγους, το κακόβουλο λογισμικό φέρει ένα δευτερεύον μέτρο προστασίας, το οποίο είναι hard-coded στον πηγαίο κώδικά του. Πιο συγκεκριμένα, κάθε φορά που το GreenDispenser ξεκινά, ελέγχει το έτος και τον μήνα, και αν η ημερομηνίες δεν συμφωνούν με τις τιμές που έχουν περαστεί στον κώδικά του, τότε δεν εκτελείται. Ο μηχανισμός αυτός του επιτρέπει να παραμένει κρυφό μέχρι να αναβαθμιστεί από τους επιτιθέμενους σε μια νεότερη έκδοση, ή μέχρι να διαγραφεί από τους ίδιους αργότερα προκειμένου να καλύψουν τα ίχνη τους.
