サイバー犯罪者はロシア、ヨーロッパ、米国、インド、中国のATMにマルウェアを感染させ、マシンに保管された現金を空にしました、とカスペルスキーの研究者は今週述べました。
Kaspersky Labの研究者は、火曜日のSecureListの投稿で、攻撃者はデフォルトのマスターキーを使用してATMケースのロックを解除し、起動可能なCDを使用してTyupkinマルウェアを感染させます。 このマルウェアは、日曜日と月曜日の真夜中にコマンドを受け入れ、その週の残りの時間を静かにして、検出を困難にするように設計されています。
マルウェアの経路
マルウェアがATMにロードされると、攻撃者はマシンのカセットに残っている金額を確認できます。 攻撃者は、お金を引き出すために、マルウェアによって特別に生成された6桁のPINを入力するために、物理的にATMの前にいる必要があります。 Kaspersky Labによると、ATMカードをスワイプしたりアカウント情報を入力したりすることなく、一度に最大40の請求書を受け取ることができるという。 インターポールとの共同調査の一部であったレポートによると、約50台のマシンがこの方法で感染しました。
「乱数に基づいた一意の6桁の組み合わせキーは、セッションごとに新たに生成されます。これにより、ギャングの外部の人が誤って詐欺から利益を得ることはありません。その後、悪意のあるオペレーターは、ブログの記事によると、アルゴリズムは表示された数に基づいてセッションキーを生成できます。これにより、現金を集めているラバが単独でそれを行おうとすることがなくなります。
興味深いことに、間違ったキーが入力されると、マルウェアはネットワーク全体を無効にします。 Kasperskyの研究者は、ネットワークが無効になった理由がわかりませんでした。 リモート調査員がマルウェアを分析するのを遅らせる方法になる可能性があります。
カスペルスキーは、攻撃を受けているATMモデルの製造元を特定せず、マシンがWindowsオペレーティングシステムの32ビットバージョンを実行していると述べました。 セキュリティの専門家は、ATMの多くはWindows XPを実行しており、Microsoftは古いオペレーティングシステムをサポートしていないため、ATMは攻撃を受けやすいと警告しています。 また、マルウェアは、マシンにインストールされた変更管理監査、構成制御、PCIコンプライアンス、およびシステムロックダウンを提供するMcAfee Solidcoreを無効にしました。
リスクのあるATM
過去数年にわたって、スキミングデバイスと悪意のあるソフトウェアを使用したATM攻撃が大幅に増加していることを確認しました」とカスペルスキーは書いています。カード情報を入手すると、クローンカードと空の銀行口座を作成できるようになり、ATMスキマーのリスクをより意識し、より慎重になるため、サイバー犯罪者は戦術を変更する必要がありました。
現在、サイバー犯罪者がチェーンを上に移動し、金融機関を直接標的とすることで、この脅威の自然な進化が見られています」とカスペルスキーは述べています。同社によると、安全なオペレーティングシステムです。
