Вредоносная программа GreenDispenser заставляет банкоматы выдавать деньги по команде киберпреступников.
Зловред обнаружен в Мексике исследователями из Proofpoint, однако, по их словам, вредоносное ПО в скором времени будет использоваться в самых разных странах.
Для установки GreenDispenser требуется физический доступ злоумышленников к банкомату. После инсталляции он перехватывает XFS (расширение для финансового сервиса), который внедряется в банкоматы на базе Windows. Эта программа обеспечивает взаимодействие между программным обеспечением банкомата и его периферийными устройствами, вроде PIN-панели. При активации GreenDispenser на дисплее банкомата отображается стандартное сообщение об ошибке: «Извините, но этот банкомат временно не работает».
В результате обычный клиент банка не сможет продолжить пользоваться банкоматом, а преступники обойдут эту ошибку, введя определенный PIN-код, который «зашит» во вредоносную программу. Стоит отметить, что GreenDispenser использует двухфакторную аутентификацию для контроля доступа к деньгам. После того как киберпреступник введет PIN-код, зараженный банкомат покажет QR-код.
Злоумышленнику, очевидно, надо будет отсканировать его с помощью мобильного приложения и тогда он получит второй динамический генерируемый PIN-код для окончательного доступа. Второй PIN-код разблокирует меню банкомата, что даст мошеннику полную власть над аппаратом. Кроме того, тут же из меню преступник может удалить вредоносную программу из банкомата, что затруднит дальнейшее расследование инцедента.
Добавим, что в прошлом году специалистам по безопасности удалось выявить троянца, позволяющего злоумышленникам опустошать кассеты банкомата путем прямых манипуляций с диспенсером банкнот. Вредоносное ПО было выявлено более чем на 50 банкоматах различных банков Восточной Европы.
Сайт VirusTotal зафиксировал еще несколько обращений с этим троянцем из разных стран, включая США, Индию и Китай. Новый зловред, получивший обозначение Backdoor.MSIL.Tyupkin, заражал банкоматы производства компании NCR, работающие под управлением 32-битной Microsoft Windows. А совсем недавно был найден первый бэкдор, поражающий банкоматы разных вендоров.
Axarhöfði 14,
110 Reykjavik, Iceland