骇客盗取提款机现钞的手法层出不穷。日前防毒软件公司卡巴斯基(Kaspersky)表示,去年俄罗斯有提款机遭骇客攻击,盗走 80 万美元,但调查时没有发现任何恶意程式,提款机两个日志档的句子成为仅余的线索。
卡巴斯基称,去年有俄罗斯银行向他们求助,指从闭路电视看到有人在提款机面前,没有做任何事情就能提走款项。结果发现至少有 8 部提款机遭相同攻击,损失金额达 80 万美元,但提款机系统没有发现恶意程式,只有两个相信是恶意留下的日志档。该两个日志档内的句子分别为“Take the Money Bitch!”和“Dispense Success”。
“无档案攻击”不留痕迹入侵系统
纵使如此,卡巴斯基研究人员很快便找到病毒样本。该病毒曾在俄罗斯和哈萨克斯坦出现,属于“无档案攻击”的一种,研究人员将之命名为 ATMitch。
研究人员透过逆向工程分析骇客的攻击手法。首先,骇客利用未知的漏洞入侵银行的服务器,并以 Meterpreter、Mimikatz 和 PowerShell 指令,把恶意程式植入服务器内存,之后会与 C&C 服务器连系。由于恶意程式储存在内存而非硬盘中,因而不会被防毒软件侦测到,系统重开机后也会消失。
然后骇客便可向提款机植入 ATMitch。ATMitch 会读取 command.txt,里含字母组成的指令,如 O 代表开启提款机钞票匣(Open dispenser)。最后 ATMich 会下达指令,得知提款机有多少余额后,就会吐出现钞,然后自我删除。研究人员亦怀疑,“Take the Money Bitch!”会在吐出现钞后在屏幕显示,提醒犯人行动。
现在研究人员也不知犯案者的背景,但认为犯案手法与之前两个恶名昭彰的入侵提款机组职 Carbanak 和 GCMAN 相似。
去年台湾第一银行的提款机也遭攻击,敲响提款机窃盗案的警铃,之后有调查表示,欧洲多国也曾发生提款机攻击事件。
- FILELESS BANKING MALWARE ATTACKERS BREAK IN, CASH OUT, DISAPPEAR
- Hackers Stole $800,000 From Russian ATMs With Disappearing Malware
(本文由 Unwire Pro 授权转载;首图来源:shutterstock)
延伸阅读:
- 调查局侦办 ATM 遭盗领案:提款机遭植入 2 个 .exe 恶意程式,一执行就吐钞
- 台湾 ATM 吐钞盗领事件可追溯到东欧犯罪集团
