Cơ quan cảnh sát châu Âu (Europol) và Trend Micro đã phát hiện một malware mới có tên là Alice đang nhắm tới các máy ATM để truy cập vào các máy và rút tiền mặt.
Malware Alice được các nhà nghiên cứu tìm thấy những bằng chứng cho thấy phần mềm độc hại này đã xuất hiện vào năm 2014.
Truy cập vào cổng ATM
Theo đó, Trend Micro cho biết, các hacker phải tiếp cận vật lý được đến các khe USB hoặc đĩa CD-ROM của máy ATM để cài malware vào thiết bị. Tiếp theo sẽ kết nối đến bàn phím để tương tác với các phần mềm. Khi đó ATM có thể sẽ cho phép hacker sử dụng bàn phím bên ngoài để khởi động phần mềm độc hại.
Trước khi khởi chạy, Alice yêu cầu nhập một mã pin. Mã pin này có mục đích nhằm bảo vệ phần mềm không bị ngân hàng can thiệp, đồng thời nó được dùng để bán quyền điều khiển cho giới tội phạm mạng – một khi nhập mã này thì hacker phát hành phần mềm sẽ biết phần mềm được kích hoạt khi nào, ở đâu.
Trước khi khởi chạy, Alice yêu cầu nhập một mã pin. Mã pin này có mục đích nhằm bảo vệ phần mềm không bị ngân hàng can thiệp, đồng thời nó được dùng để bán quyền điều khiển cho giới tội phạm mạng – một khi nhập mã này thì hacker phát hành phần mềm sẽ biết phần mềm được kích hoạt khi nào, ở đâu.
Mã PIN được Alice yêu cầu trước khi cài vào máy
Alice chỉ có một tính năng
Sau khi nhập mã PIN, Alice xâm nhập vào hệ thống máy ATM (Hầu hết chạy bằng hệ điều hành Windows). Khác với những loại malware khác, Alice chỉ kết nối với mô-đun đếm tiền trong máy ATM và mở ra một cửa sổ như trong hình dưới.
Trong thực tế, bảng kê phía trên sẽ hiển thị thông tin về số lượng tờ tiền cho mỗi lần rút tiền. Ngay lúc này, những kẻ tấn công sẽ sử dụng bàn phím ngoài để điều khiển và yêu cầu máy nhả tiền. Vì hầu hết các máy ATM giới hạn đến 40 tờ tiền mỗi một lần rút và có thể giới hạn số tiền tối đa mỗi lần rút nên kẻ tấn công sẽ cần lặp lại thao tác này nhiều lần để rút tiền.
Alice hỗ trợ RDP nhưng không sử dụng
Đáng nói là Alice có các tùy chọn kết nối qua RDP (Remote Desktop Protocol) – điều khiển từ xa các máy tính trong cùng mạng – nhưng Europol và Trend Micro cho rằng, họ chưa nhìn thấy tính năng này được hacker sử dụng. Có thể là do những hacker sẽ cần phải biết mật khẩu của RDP trên máy ATM, hoặc tiến hành một cuộc tấn công phức tạp để đoán mật khẩu.
Tính đến nay, các phần mềm độc hại ATM đã xuất hiện được khoảng 9 năm, với các biến thể đầu tiên được phát hiện vào năm 2007.
Hiện nay, phần mềm độc hại ATM có thể rơi vào một trong hai loại, hoặc cả hai: ATM phần mềm độc hại nằm ẩn và thu thập dữ liệu thẻ thanh toán, ghi lại và gửi thông tin đến kẻ gian; và phần mềm độc hại cho phép kẻ tấn công gửi lệnh điều khiển theo thời gian thực đến máy ATM.
Tính đến nay, các phần mềm độc hại ATM đã xuất hiện được khoảng 9 năm, với các biến thể đầu tiên được phát hiện vào năm 2007.
Hiện nay, phần mềm độc hại ATM có thể rơi vào một trong hai loại, hoặc cả hai: ATM phần mềm độc hại nằm ẩn và thu thập dữ liệu thẻ thanh toán, ghi lại và gửi thông tin đến kẻ gian; và phần mềm độc hại cho phép kẻ tấn công gửi lệnh điều khiển theo thời gian thực đến máy ATM.
Alice khác biệt so với các chủng phần mềm độc hại ATM khác
Alice rơi vào loại thứ hai nhưng rất khác so với các chủng phần mềm độc hại ATM tương tự như Ripper, SUCEFUL, hoặc GreenDispenser.
Tất cả những chủng trên đều được điều khiển thông qua bàn phím trên máy ATM. Nhưng Alice thì không. Nếu dùng phương pháp thông thường, kẻ tấn công sẽ phải tốn thêm thời gian tạo phần mềm giao tiếp giữa mã độc với bàn phím ATM, trong khi ở Alice chúng chỉ cần tập trung tấn công vào mô-đun nhả tiền của máy ATM như đã nói trên.
Cách làm này cho thấy kẻ tạo ra Alice kém kinh nghiệm hơn so với các nhóm còn lại, hoặc ngược lại, kẻ này không muốn tốn thời gian trong việc xây dụng một phần mềm đánh cắp dữ liệu thẻ ngân hàng rồi lại tiếp tục tốn thời gian bán dữ liệu này trên chợ đen. Kẻ này muốn cắt giảm hoàn toàn mọi thủ thuật phức tạp khi xây dựng Alice.
Hãng bảo mật Trend Micro nhận định, với hơn 432.000 máy ATM lắp đặt trên toàn thế giới, phần mềm độc hại ATM là một lĩnh vực rất hấp dẫn tội phạm vì mỗi khi thành công, thành quả (là tiền bạc) hầu như có ngay lập tức. Sự bùng nổ của phần mềm độc hại ATM dự đoán sẽ tiếp tục tăng mạnh trong năm 2017.
Theo ictnews.vn
Tất cả những chủng trên đều được điều khiển thông qua bàn phím trên máy ATM. Nhưng Alice thì không. Nếu dùng phương pháp thông thường, kẻ tấn công sẽ phải tốn thêm thời gian tạo phần mềm giao tiếp giữa mã độc với bàn phím ATM, trong khi ở Alice chúng chỉ cần tập trung tấn công vào mô-đun nhả tiền của máy ATM như đã nói trên.
Cách làm này cho thấy kẻ tạo ra Alice kém kinh nghiệm hơn so với các nhóm còn lại, hoặc ngược lại, kẻ này không muốn tốn thời gian trong việc xây dụng một phần mềm đánh cắp dữ liệu thẻ ngân hàng rồi lại tiếp tục tốn thời gian bán dữ liệu này trên chợ đen. Kẻ này muốn cắt giảm hoàn toàn mọi thủ thuật phức tạp khi xây dựng Alice.
Hãng bảo mật Trend Micro nhận định, với hơn 432.000 máy ATM lắp đặt trên toàn thế giới, phần mềm độc hại ATM là một lĩnh vực rất hấp dẫn tội phạm vì mỗi khi thành công, thành quả (là tiền bạc) hầu như có ngay lập tức. Sự bùng nổ của phần mềm độc hại ATM dự đoán sẽ tiếp tục tăng mạnh trong năm 2017.
Theo ictnews.vn