Бесфайловое вредоносное ПО «ATMitch». Дистанционный доступ к банкоматам, который давал им возможность выдавать деньги «в любое время одним нажатием кнопки». Обнаружено исследователями «Лаборатории Касперского».
Злоумышленники внедрили вредоносное ПО в банкоматы с помощью модулей удаленного администрирования машины, что дало им возможность выполнять команды, например, определять количество счетов внутри машины или выдавать наличные.
Это вредоносное ПО играет интересную роль после того, как оно попадает в банкомат. Во время атаки злоумышленники смогли получить контроль над банкоматами и загрузить в них вредоносное ПО.
По словам исследователей из «Лаборатории Касперского», после обналичивания вредоносное ПО было удалено. Эксперты банка не смогли восстановить вредоносные исполняемые файлы из-за фрагментации жесткого диска после атаки, но они смогли восстановить журналы вредоносного ПО и некоторые имена файлов.
Экспертная группа банка проанализировала банкомат. Команда криминалистов банка по уходу за жесткими дисками укомплектована и нашла несколько интересных файлов и удаленный исполняемый файл.
Исследователи из « Лаборатории Касперского» выпустили исполняемый файл и другие данные, которые были удалены после того, как вредоносное ПО завершило действие.
Источник: Лаборатория Касперского.
Они создали правило YARA для общедоступных репозиториев вредоносного ПО, из которого был получен образец. YARA, инструмент сопоставления с образцом, используется исследователями вредоносных программ для выявления и классификации образцов вредоносных программ.
По словам исследователей, после установки и запуска через подключение к удаленному рабочему столу вредоносная программа ищет файл command.txt. Оттуда она считывает символы внутри файла, которые ссылаются на различные команды, и выполняет их в зависимости от потребностей злоумышленников.
В случае обнаружения вредоносная программа считывает из файла односимвольное содержимое и выполняет соответствующую команду:
После выполнения «ATMitch» записывает результаты этой команды в файл журнала и удаляет «command.txt» с жесткого диска банкомата.
Исследователи не могут найти, кто стоит за этой атакой. Вредоносная программа, использованная на втором этапе атаки, tv.dll, содержит русскоязычный ресурс, что также соответствует профилю групп.
Злоумышленники внедрили вредоносное ПО в банкоматы с помощью модулей удаленного администрирования машины, что дало им возможность выполнять команды, например, определять количество счетов внутри машины или выдавать наличные.
Это вредоносное ПО играет интересную роль после того, как оно попадает в банкомат. Во время атаки злоумышленники смогли получить контроль над банкоматами и загрузить в них вредоносное ПО.
По словам исследователей из «Лаборатории Касперского», после обналичивания вредоносное ПО было удалено. Эксперты банка не смогли восстановить вредоносные исполняемые файлы из-за фрагментации жесткого диска после атаки, но они смогли восстановить журналы вредоносного ПО и некоторые имена файлов.
Экспертная группа банка проанализировала банкомат. Команда криминалистов банка по уходу за жесткими дисками укомплектована и нашла несколько интересных файлов и удаленный исполняемый файл.
Исследователи из « Лаборатории Касперского» выпустили исполняемый файл и другие данные, которые были удалены после того, как вредоносное ПО завершило действие.
- C: \ Windows \ Temp \ kl.txt
- C: \ logfile.txt
- C: \ ATM \! A.EXE
- C: \ ATM \ IJ.EXE
Источник: Лаборатория Касперского.
Они создали правило YARA для общедоступных репозиториев вредоносного ПО, из которого был получен образец. YARA, инструмент сопоставления с образцом, используется исследователями вредоносных программ для выявления и классификации образцов вредоносных программ.
По словам исследователей, после установки и запуска через подключение к удаленному рабочему столу вредоносная программа ищет файл command.txt. Оттуда она считывает символы внутри файла, которые ссылаются на различные команды, и выполняет их в зависимости от потребностей злоумышленников.
В случае обнаружения вредоносная программа считывает из файла односимвольное содержимое и выполняет соответствующую команду:
- 'O' - Открыть дозатор
- 'D' - дозировка
- 'I' - инициализировать XFS
- 'U' - разблокировать XFS
- 'S' - установка
- 'E' - выход
- 'G' - получить идентификатор дозатора
- 'L' - Установить идентификатор дозатора
- 'C' - Отмена
После выполнения «ATMitch» записывает результаты этой команды в файл журнала и удаляет «command.txt» с жесткого диска банкомата.
Исследователи не могут найти, кто стоит за этой атакой. Вредоносная программа, использованная на втором этапе атаки, tv.dll, содержит русскоязычный ресурс, что также соответствует профилю групп.
