据外媒报道,墨西哥出现了一种面向ATM机的新型恶意软件家族,使得攻击者能够输入两组特殊的PIN码来洗劫ATM的钞箱。Proofpoint的研究人员率先留意到并分析了这款ATM恶意软件,诡异的是,它和卡巴斯基于2014年10月发现、在俄罗斯和东欧地区肆虐的Padpin ATM恶意软件有不少共同点。 新款恶意软件的名字叫做GreenDispenser,它的不同之处是拥有两项使其难以被检测到的特殊技能,甚至可以在一段时间后自动禁用自己。 需要指出的是,想要感染这些ATM,必须先得物理接触到目标机器,所以这件事情很大程度上就是内鬼所为、或者银行员工在安装时没能留意到程序有被恶意软件所修改过。 万幸的是,想要揪出这些被感染的机器并不是难事,因为它们都会显示一则虚假的服务消息——“Temporalmente fuera de servicio”(西班牙语的“服务暂不可用”)。 一旦被安装,GreenDispenser就会像近期曝光的另一款名叫SUCEFUL的ATM恶意软件一样,通过XFS中间件为攻击者敞开PIN码输入的交互之门。 然后,攻击者会输入两组PIN码来洗劫ATM机。Proofpoint的研究人员指出,第一组PIN码是为了唤起这款恶意软件,第二组PIN码则是贴在每台ATM机上的条码标签。 这款恶意软件还附加了深度删除功能,以便攻击者在把钞箱洗劫一空之后,清除掉自己留下的踪迹。 考虑到某些可能无法得逞的场景,GreenDispenser的源代码中还包括了第二重“保护措施”。当它每次启动的时候,都会检查一下日期和时间。如果在其硬编码值之后,就不会执行。 如此一来,它就能够继续隐藏下去,知道攻击者用新版本来替换它,或者在今后得逞之时删除掉自己并掩盖痕迹。 [编译自:Soft Pedia]
