بدافزار جدید به نام ATMii می‌تواند پول نقد را از دستگاه‌های خودپرداز خالی کند

ATMii

بدافزار جدید به نام ATMii می‌تواند پول نقد را از دستگاه‌های خودپرداز خالی کند

اگر بخاطر داشته باشید،در خبر های اخیر به هشدار پلیس درباره افزایش حملات به خودپرداز بانک ها اشاره شد،بطور خلاصه می توان گفت،  پلیس هشدار داد، مجرمان سایبری به طور فزاینده‌ای از طریق شبکه‌های بانک‌‌ها به دستگاه‌های خودپرداز دسترسی پیدا می‌کنند و با حمل‌کننده‌های پولی که آماده می‌ایستند تا پول نقد دزدیده شده را بردارند، همراه هستند.

در ادامه اخبار اخیر،محققان آزمایشگاه کسپرسکی پی بردند که یک بدافزار جدید دستگاه‌های خودپرداز را مورد هدف قرار می‌دهد و به مهاجمان این امکان را می‌دهد که پول نقد موجود در آن‌ها را به طور کامل خالی کنند. بدافزار ATMii، اولین بار در ماه آوریل امسال مشاهده شد، که از یک ماژول تزریق‌کننده(exe.exe) و ماژول برای تزریق (dll.dll) تشکیل شده است.

همچنین کسپرسکی نتیجه گرفته است که: «بدافزار ATMii نمونه‌ی دیگری از چگونگی استفاده مجرمان از کتابخانه‌های اختصاصی قانونی و یک قطعه کد کوچک برای برداشت پول از دستگاه خودپرداز است. برخی از اقدامات مناسب در برابر چنین حملاتی، سیاست‌های منع‌کننده و کنترل دستگاه‌هاست. اقدام اول مانع از اجرای کدهای مجرمان در رایانه داخلی دستگاه خودپرداز می‌شود، در حالی‌که اقدام دوم مانع از اتصال دستگاه‌های جدید، مثل یواس‌بی فلش‌ها می شود.»

این بدافزار از نسخه ایکس‌پی به بعد ویندوز که بستر بیشتر دستگاه‌های خودپرداز است، پشتیبانی می‌کند. تزریق‌گر فرآیند نرم‌افزاری اختصاصی دستگاه خودپرداز به نام atmapp.exe را هدف قرار می‌دهد تا ماژول دوم را به آن تزریق کند. با این‌حال، به نظر می‌رسد تزریق‌گر نسبتا ضعیف نوشته شده و وابسته به چند پارامتر است و اگر پارامتری به آن ارسال نشود، خطا رخ می‌دهد.شایان ذکر است که؛کسانی که از این بدافزار استفاده می‌کنند به دسترسی مستقیم به دستگاه خودپرداز هدف (هم در شبکه هم به طور فیزیکی) نیاز دارند تا آن را نصب کنند.

ATMii

د ادامه خبر باید به این مهم اشاره کرد که؛پارامترهایی که پشتیبانی می‌کند عبارتنداز: /load، که تلاش می‌کند dll.dll را به atmapp.exe تزریق کند، /cmd، که پرونده C:\ATM\c.ini ایجاد و به‌روزرسانی می‌کند (که توسط dll تزریق شده برای خواندن دستورات استفاده می‌شود)، و /unload، که تلاش می‌کند در زمان بازیابی وضعیت آن، کتابخانه تزریق‌شده را از فرآیند atmapp.exe بارگیری کند. براساس دستورالعمل‌های موجود، این بدافزار می‌تواند سرویس CASH_UNIT XFS را پویش کند، مبلغ موردنظر پول نقد را برداشت کند (که در آن مقدار و پول رایج به‌عنوان پارامتر استفاده می‌شود)، اطلاعاتی در مورد کارت‌های نقدی دستگاه خودپرداز بازیابی کرده و آن را در پرونده گزارش ثبت کند و پرونده C:\ATM\c.ini را حذف کند.

گفتنی است که؛ماژول تزریق‌شده تلاش می‌کند تا شناسه سرویس CASH_UNIT دستگاه خودپرداز را پیدا کند، چون نمی‌تواند بدون این سرویس کار کند. پس از پیداکردن آن، نتیجه را ذخیره می‌کند و تمام فراخوانی‌های دیگر را به یک تابعی ارسال می‌کند که مسئول خواندن، تجزیه و اجرای دستورات از پرونده C:\ATM\c.ini است.

 

منبع

مطالب مرتبط

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *