محققان امنیتی، بدافزار جدیدی کشف کرده اند که با آلوده نمودن دستگاه های خودپرداز (ATM)، نفوذگر را قادر به برداشت پول از دستگاه می کند.
به گزارش سایت Computer World، این بدافزار جدید که به GreenDispenser معروف شده در کشور مکزیک کشف و شناسایی شده است. اما انتظار می رود در آینده ای نزدیک، نمونه های مشابه آن در کشورهای دیگر نیز مشاهده شود.
GreenDispenser اولین بدافزار ویژه دستگاه های خودپرداز نیست. در اکتبر سال ۲۰۱۳، محققان شرکت Symantec از انتشار یک بدافزار از نوع درب پشتی (Backdoor) با نام Ploutus خبر دادند.
Ploutus قادر بود که در صورت راه اندازی خودپرداز با یک دیسک راه انداز حاوی بدافزار، اقدام به آلوده نمودن آن دستگاه کند.
نخستین نسخه از Ploutus، به خرابکاران سایبری امکان می داد با اجرای فرامینی خاص از طریق صفحه PIN دستگاه یا یک صفحه کلید خارجی متصل شده به آن، پول را از خودپرداز خارج کنند.
نسخه دوم این بدافزار که ماه مارس سال ۲۰۱۴ شناسایی شد قابلیت ارسال پیام متنی به دستگاه را نیز داشت.
بدافزار Ploutus نیز همانند GreenDispenser، در کشور مکزیک ظهور یافت. اما نسخه دوم امکان سفارشی شدن به زبان انگلیسی را نیز داشت که نشان دهنده تمایل گردانندگان آن برای انتشار بدافزار در کشورهای دیگر بود.
به تدریج ایده آلوده نمودن خودپردازها مورد توجه ویروس نویسان بیشتری قرار گرفت.
در اکتبر ۲۰۱۴، محققان شرکت ضدویروس Kaspersky نسبت به انتشار بدافزاری با عنوان Tyupkin یا Padpin که تا آن زمان بیش از ۵۰ خودپرداز مؤسسات مالی را در اروپای شرقی آلوده کرده بود، هشدار دادند.
به تازگی نیز محققان شرکت FireEye خبر از کشف بدافزاری با عنوان Suceful داده اند که کارت بانکی را در درون خودپرداز ضبط کرده و سپس به فرمان نفوذگر آن را از دستگاه بیرون می دهد. در واقع، این نوع بدافزارها، راهی برای دور زدن روش هایی همچون EMV (یا enhanced motion vehicle) است که ساخت و کپی کارت های بانکی را دشوار می کنند.
همانند اکثر بدافزارهای ویژه خودپردازها، GreenDispenser نیز نیازمند دسترسی فیزیکی نفوذگر به ماشین برای نصب شدن است.
به محض نصب شدن، بدافزار خود را به سرویس های XFS تزریق می کند. در دستگاه های خودپرداز مبتنی بر سیستم عامل Windows، این سرویس رابط میان نرم افزار و ابزارهای جانبی دستگاه، همچون صفحه PIN و دستگاه پرداخت کننده پول، است.
با فعال شدن بدافزار، پیام “.We regret this ATM is temporary out of service” بر روی صفحه دستگاه ظاهر می شود.
در حالیکه مشتریان، دیگر قادر به استفاده از دستگاه نخواهند بود، نفوذگر با وارد نمودن یک PIN خاص که به صورت حرفه ای در درون بدافزار جاسازی شده است به تنظیمات خودپرداز دسترسی پیدا می کند.
جالب آنکه بدافزار GreenDispenser از نوعی روش اصالت سنجی دو مرحله ای (Two-factor authentication یا 2FA)استفاده می کند. بدین ترتیب که پس از وارد کردن PIN، دستگاه یک کد QR را نمایش می دهد که احتمالاً نفوذگر با اسکن کردن آن با یک برنامک خاص، به کد دوم درست می یابد.
با وارد کردن کد دوم، نفوذگر به بخش پرداخت کننده پول دسترسی خواهد یافت. همچنین نفوذگر می تواند بدافزار را به نحوی از روی دستگاه پاک کند که امکان بازگردانی آن توسط متخصصان امنیتی بسیار دشوار باشد.
توضیح اینکه بدافزار GreenDispenser توسط ضدویروس McAfee با نام BackDoor-FCTY!ppad قابل شناسایی می باشد.
فسا-پسا
