讓ATM機自動吐錢的惡意軟體 你想要嗎？

近日網路安全服務商趨勢科技與歐洲刑警組織的歐洲網路犯罪中心（Europol EC3）聯合發現了一款新的入侵ATM的惡意軟體- Alice，Alice能夠將ATM的保險柜金洗劫一空，不用任何銀行卡，不用輸入密碼就能讓裡面的現金分分鐘易主。

其實使用惡意軟體來入侵ATM在刑事系統中是很常見的。在過去，安全專家們已經發現了一些類似圖的惡意軟體。比如Tyupkin（Padpin），Ploutus，padpin，suceful，GreenDispenser。

Alice的獨特之處

Alice在2016年11月首次被發現，剛開始研究人員推測Alice很可能是Tyupkin（Padpin）的最新變體，但經過進一步的調查，專家們發現Alice是個全新的ATM惡意攻擊軟體。趨勢科技表示：「Alice很明顯與與其他ATM惡意軟體不同，Alice沒有信息竊取的功能，只是用來洗劫ATM保險柜的。」根據研究人員的分析，使用Alice的犯罪分子必須先得物理接觸到目標ATM，這表明很大程度上是內鬼所為、或者銀行員工在安裝時沒能留意到程序有被惡意軟體所修改過。安全人員說：「攻擊者會輸入PIN碼來洗劫ATM機，而且作案之後，Alice也不會特意的對自己進行卸載，它只通過在適當的環境中運行可執行文件來實施犯罪。」

Alice不像早先的GreenDispenser惡意軟體那樣，具有很強的隱蔽功能，GreenDispenser這款惡意軟體附加了深度刪除功能，以便攻擊者在把鈔箱洗劫一空之後，清除掉自己留下的蹤跡。據說Alice也可以通過遠程桌面協議（RDP）使用，但研究人員目前沒有發現這種使用的痕迹。

Alice的運行過程如下：

當Alice執行時，它在根目錄中創建一個空的5 MB大小的文件，名為xfs_supp.sys並顯示出一條虛假的錯誤日誌文件TRCERR.LOG。xfs_supp.sys用零填充，但不包含數據，TRCERR.LOG會跟蹤任何XFS API調用的相關消息或錯誤。即使惡意軟體被刪除，該文件仍會保留在計算機上，可能是以後進行故障排除或者只是因為vxers忘記刪除它。

「自動取錢」詳情

研究人員注意到，Alice僅連接到CurrencyDispenser1外設，並且不包括使用PIN鍵盤的代碼，可能是為了犯罪分子與ATM進行物理訪問時通過USB或CD-ROM進行感染。

專家們分析到：

這個世界的問題就是聰明人總是懷疑自己，而愚蠢的人總是充滿自信。by 布考斯基

而其他ATM惡意軟體，比如GreenDispenser則能夠實現XFS，延伸至專門用於AMT機器的金融服務DLL運行庫(MSXFS.dll)。該庫提供了一種專用的通訊介面(API)，用於與自動取款機的PIN pad和現金分配器進行通信。

Alice惡意軟體的代碼至今還沒有被破解，因為它使用了VMProtect，，VMProtect是一個軟體保護軟體。通過這個軟體保護的代碼部分在虛擬機上執行，這使得被保護的程序很難被分析與破解。另外在非ATM的環境中Alice會自動停止運行。

Alice支持以下三個命令，每個命令通過特定的PIN發出：

刪除文件以進行卸載。

退出程序運行卸載/清理程序。

打開「操作面板」，查看ATM中可用的現金數量。

一旦Alice進入到ATM的環境中，就會開始攻擊，通過錢騾子進入到ATM保險柜，ATM的屏幕上就會顯示現在ATM里每個鈔票箱里有多少現金，並且詢問犯罪分子要洗劫哪個鈔票箱，然後通過WFSExecute API把取鈔命令發送到CurrencyDispenser1外設。選擇後，ATM會從選定的鈔票箱中每次吐出來40張鈔票。

不過Alice每次運行的時候都需要犯罪分子來把Windows任務管理器taskmgr.exe重新替換成Alice。

註：本文參考來源於securityaffairs

推薦閱讀：