Avaliando o custo de um ataque DDoS
Cibercriminosos mexicanos são alvo caixas eletrônicos de bancos com malware que pode ser ativada por uma mensagem SMS que obriga caixas eletrônicos comprometidos a vomitar dinheiro.
O ataque é um refinamento em assaltos anteriores usando o backdoor Ploutus cepa de malware que faz máquinas roubando dinheiro ainda mais fácil para bandidos locais, de acordo com a empresa de segurança Symantec net "
No final de 2013, escrevi sobre o novo malware ATM no México, o que poderia deixar ATMs atacantes de força para vomitar dinheiro sob demanda usando um teclado externo. Essa ameaça foi nomeado Backdoor-Ploutus.Algumas semanas mais tarde, descobrimos uma nova variante, que mostrou que o malware tinha evoluído para uma arquitetura modular. A nova variante foi também localizada no idioma Inglês, o que sugere que o autor de malware está a expandir a sua franquia para outros países.
A nova variante foi identificada como Backdoor-Ploutus-B.
O que foi interessante sobre esta variante do Ploutus foi que permitiu que os cibercriminosos para basta enviar um SMS para o ATM comprometida, então andar para cima e recolher o dinheiro dispensado. Pode parecer incrível, mas esta técnica está sendo usado em um número de lugares em todo o mundo neste momento.
O esquema baseia-se controlar remotamente a ATM utilizando um telefone móvel, que é ligado ao interior da máquina de dinheiro. Isto não é tão difícil como pode parecer à primeira vista e não implica fisicamente abrindo uma máquina de destino, Symantec pesquisador Daniel Regalado explica .
Existem várias maneiras de conectar um telefone celular para um caixa eletrônico. Um método comum é usar uma configuração chamado tethering USB, que é efetivamente uma conexão de Internet compartilhada entre um telefone e um computador (ou, neste caso, um ATM).Os atacantes precisam definir o telefone corretamente, conecte-o ao caixa eletrônico e infectar o ATM com Ploutus. Depois de todas essas etapas forem concluídas, a conectividade bidirecional completo é estabelecida eo telefone está pronto para ser usado.
Uma vez que o telefone está ligado à ATM através da porta USB, o telefone também recebe energia da conexão, que carrega a bateria do telefone. Como resultado, o telefone permanecerá ligado indefinidamente.
Quando a instalação estiver concluída, criminosos podem enviar mensagens de comando SMS para o telefone de destino que primeiro ativar o código malicioso, antes de uma segunda mensagem de aciona-lo para dispensar dinheiro. Dinheiro roubado é recolhido por uma mula dinheiro trabalhar para as gangues por trás da farsa. O dispositivo móvel converte a mensagem em um pacote de rede antes de encaminhá-lo para a ATM através do cabo USB.
"O monitor de pacotes de rede (NPM) é um módulo do malware que age como um packet sniffer, observando todo o tráfego de rede passa no caixa eletrônico", explica a Symantec. "Assim que a ATM comprometida recebe um TCP ou UDP válida a partir do telefone, o NPM irá analisar o pacote e procurar o número '5449610000583686 'em um deslocamento dentro do pacote a fim de processar todo o pacote de dados específico. Uma vez que é detectado número específico, o NPM lerá os próximos 16 dígitos e usá-los para construir uma linha de comando para executar Ploutus ".
As versões anteriores do malware contou com os cérebros por trás do esquema de dizer a seus subordinados sobre o código de ativação necessário. A última versão do Ploutus contorna este requisito, limitando a possibilidade de que mulas de dinheiro humildes poderia defraudar os cérebros por trás da farsa. A nova abordagem também é mais discreto porque bandidos não são obrigados a entrar longas seqüências de código em dispositivos comprometidos ou esperar por o dinheiro para ser dispensado. A quantidade de dinheiro dispensado é pré-configurado dentro do malware.
Symantec foi capaz de replicar o ataque em seu laboratório com uma verdadeira caixa eletrônico que tinha sido infectada com Ploutus antes de montar um pequeno vídeo que ilustra o processo explorar.
Symantec alerta que Ploutus está longe de ser a única linhagem de malware voltado para bater fora ATMs. "No caso de Ploutus, os atacantes estão tentando roubar o dinheiro de dentro do caixa eletrônico, no entanto, algum malware analisamos tentativas de roubo de informações de cartão dos clientes e PIN, enquanto outros softwares maliciosos permite que criminosos tentam man-in-the- ataque pelo meio ", Regalado da Symantec acrescenta.
Symantec explica que o problema só vai piorar, especialmente no caso de máquinas de dinheiro mais antigos ainda em execução (OS dead-man-pé) do Windows XP.
"Caixas eletrônicos modernos têm recursos avançados de segurança, como criptografados discos rígidos, que podem impedir estes tipos de técnicas de instalação", conclui o pesquisador. "No entanto, para caixas eletrônicos mais antigos ainda em execução no Windows XP, protegendo contra esses tipos de ataques é mais difícil, especialmente quando os caixas eletrônicos já são utilizados em todos os tipos de locais remotos. Outra dificuldade que precisa ser abordado é a segurança física do computador no interior dos caixas eletrônicos. Enquanto o dinheiro do caixa eletrônico é trancado dentro de um cofre, o computador geralmente não é. Sem segurança física adequada para estas caixas eletrônicos mais antigos, o atacante tem a mão superior. "
Post no blog da empresa de segurança conclui com uma lista de medidas de segurança para se proteger contra esse tipo de fraude. Mas comprometer um caixa eletrônico é sempre vai ser de risco, porque há sempre a possibilidade de que bandidos podem ser capazes de tirar proveito de insiders cúmplices, a empresa de segurança acrescenta. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário