Rosyjski malware na… bankomaty

03 kwietnia 2013, 08:15 | Aktualności | 1 komentarz
Tagi: , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Jak niedawno ostrzegaliśmy, nasze karty płatnicze są przy każdym użyciu narażone na coraz powszechniejsze zakusy przestępców posługujących się sprzętowymi skimmerami. Okazuje się jednak, że coraz częstsza staje się również kradzież danych z kart z wykorzystaniem… zainfekowanych bankomatów.

Group-IB, moskiewska firma z branży bezpieczeństwa IT, zidentyfikowała rosyjski malware zdolny do infekowania bankomatów i terminali płatniczych. Celem złośliwego oprogramowania ochrzczonego mianem Dump Memory Grabber jest oczywiście przechwytywanie danych z kart płatniczych.

Dump Memory Grabber został napisany w czystym C++ i jest przeznaczony dla wszystkich spotykanych obecnie wersji systemów Windows, również w architekturze x64. Malware na bieżąco poszukuje w pamięci i zapisuje wszystkie dane pochodzące z kart płatniczych.

Internetowa "reklama" Dump memory grabbera

Internetowa „reklama” Dump memory grabbera
za: securityaffairs.co

Dump Memory Grabber zbiera z poszczególnych kart dane track1 i track2 (numer konta, nazwisko właściciela, datę ważności, PIN/CVV), czyli wszystko co jest w praktyce potrzebne do wykonania w pełni funkcjonalnej kopii karty. Skradzione dane są przesyłane do centralnego serwera za pomocą protokołu FTP bądź wiadomości e-mail (do wyboru w opcjach konfiguracyjnych).

W jaki sposób dochodzi do infekowania bankomatów i terminali płatniczych? Jak się okazuje, w większości przypadków jest to dzieło samych pracowników banków lub punktów sprzedaży, którzy współpracują z grupami przestępczymi. Jednak niektóre bankomaty i terminale (np. te pracujące pod kontrolą systemów Windows i udostępniające zdalny pulpit) są również infekowane zdalnie – np. po uprzednim przełamaniu zabezpieczeń bankowej sieci VPN.

Warto przy okazji nadmienić, że przykładowo Die Deutsche Kreditwirtschaft, czyli niemiecki regulator sektora bankowego nie zezwala na wykorzystywanie bankomatów oraz terminali płatniczych pracujących pod kontrolą systemów z rodziny Windows, czyli takich które najczęściej są celem twórców złośliwego oprogramowania.

Panel administracyjny Dump memory grabbera

Panel administracyjny Dump memory grabbera
za: securityaffairs.co

Ofiarami powyższych ataków zaobserwowanych do tej pory jedynie na terenie USA, padli już najprawdopodobniej klienci kilku znanych amerykańskich banków, takich jak Chase, Capital One, czy Citibank. Niestety, przed tego typu zagrożeniami nie uchroni nas ani czujność, ani zasłanianie kodu PIN podczas jego wprowadzania…

Poza zaufaniem do naszego banku, pozostaje nam jedynie śledzenie stanu naszego konta oraz historii transakcji, by w razie wątpliwości zareagować jak najszybciej. Dobrym pomysłem może być również uruchomienie usługi powiadamiania smsowego o wszelkich transakcjach wykonanych na naszym rachunku, dzięki czemu od razu wychwycimy wszelkie niespodziewane transakcje.

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Demo

    WoW !
    Naprawdę mocne ;]
    Grabber korzysta z dziury „? ATMy takżę zostają infekowane fizycznie ?
    Co do powiadamiania smsowego, To nie problem dla cradera jeśli posiada wystarczająco info.

    Odpowiedz

Odpowiedz