ATM危機不斷：新型ATM惡意軟體PRILEX正展開新一輪攻擊

近日，據外媒報道稱，來自趨勢科技的安全研究人員分析發現了一款新型ATM惡意軟體——PRILEX，主要用於針對巴西銀行實施高度針對性的攻擊活動。

據研究人員介紹稱，PRILEX惡意軟體是用Visual Basic 6.0（VB6）編寫的，專門用於劫持銀行應用程序，竊取ATM用戶的信息。

據悉，卡巴斯基實驗室最初於2017年10月就已經發現了第一次PRILEX攻擊活動，但是趨勢科技進行的分析顯示該惡意軟體具有非常特殊的行為屬性。該ATM惡意軟體是通過鉤掛某些動態鏈接庫（DLL）來運行，並將其替換為自己的應用程序屏幕。這些惡意軟體代碼所針對的目標DLL包括：

P32disp0.dll；P32mmd.dll；P32afd.dll

研究人員通過進一步調查確定，這些目標DLL都是屬於巴西銀行的ATM應用程序。

此外，該惡意軟體的特殊性還表現在，只會影響特定品牌的自動取款機，這說明該惡意軟體是為高度針對性的攻擊活動而設計開發的。

一旦成功感染ATM設備後，PRILEX惡意軟體就開始與銀行應用程序一起開始干擾行動，PRILEX會顯示自己的虛假屏幕，誘導目標用戶提供其帳戶的安全代碼。該代碼是作為雙因素身份驗證過程的一部分提供給用戶的，PRILEX惡意軟體將能夠劫持並存儲該代碼信息。

另外一個引起研究人員關注的特殊點在於，在上述過程之後，PRILEX惡意軟體會試圖將劫持並存儲的數據發送回命令和控制（C＆C）伺服器，這對於ATM惡意軟體來說是非常罕見的行為。

研究人員在隨後發布的分析報告中寫道，

據我們所知，這是第一款假設ATM設備是連接網路的ATM惡意軟體。分析發現的這家銀行的ATM很大可能就是連接到互聯網的，從此可以看出，攻擊者似乎對這些特定品牌的ATM設備的使用方法和流程非常熟悉。

另一個證明該惡意軟體攻擊是高度針對性的證據是，攻擊者的目的只是竊取用戶信息，而不是破解ATM設備，這說明攻擊者背後的犯罪團伙存在處理大量信用卡憑證的情況。

報告進一步解釋道，

其實，從PRILEX惡意軟體身上我們可以學到一些更重要的東西。一是，任何一家銀行獨有的方法和流程都可能會被犯罪分子洞悉，並用於高度針對性的攻擊之中。所以，如果你想捍衛自己的ATM基礎設施就必須重視這種情況。二是，直接破解ATM的攻擊是非常臭名昭著，且易於察覺的，但是像這種靜默式的攻擊可能會潛伏几個月，甚至幾年都能不被發現。三是，高度針對性的惡意軟體可能需要花費大量的時間和資源來進行開發，這表明在當今社會，犯罪分子認為這是值得投資的行為。

CUTLET MAKER：正在暗網出售的ATM惡意軟體

除了PRILEX之外，趨勢科技的研究人員還分析了最近發現的另一款ATM惡意軟體——CUTLET MAKER，該惡意軟體目前正在暗網以5000美元左右的價格出售。

據悉，該犯罪軟體工具包最初是由卡巴斯基於今年10月份發現的，該工具包旨在不與ATM用戶以及數據進行交互的情況下，使用一個供應商API針對各種Wincor Nixdorf ATM模型。

研究人員發現，早在今年 5 月，這個惡意軟體就已經在 AlphaBay 暗網市場上出售了，在美國當局關停這個網站之後，10月份，惡意軟體的開發者又新建了一個網站，新網站的名字是 ATMjackpot ，開發者並對軟體做了一些修改。

【惡意軟體功能介紹】

開發者聲稱，只要能連接上 ATM 的 USB 介面，該惡意軟體可以在任何 Wincor Nixdorf ATM 上運行。此外，該網站上也放出了視頻，來展示軟體的工作、連接硬體、軟體運行、吐鈔過程。

研究人員分析發現，當攻擊者接近 ATM 機時，會使用暴力手段將其 USB 介面暴露出來，然後用自己的設備連接這個介面，連接自己的無線鍵鼠和裝有 Cutlet Maker malware 的存儲卡。

該惡意軟體包含兩部分：Cutlet Maker（這個是惡意軟體的主程序，用來對接 ATM 軟體介面）和一個模擬程序（這個程序用來控制 ATM 吐錢）。一旦連接上 ATM 機，主程序 Cutlet Maker 將會運行。然後會在窗口的左下角顯示一段代碼：

購買者必須將這段代碼（圖中所示為16517234）通過手機（安裝了 Tor ）複製到 ATMjackpot 網站中，然後會得到一個解鎖 Cutlet Maker app 的密碼。然後，攻擊者就可以利用模擬程序查詢 ATM 餘額，並控制吐錢。

一旦攻擊者知道 ATM 機餘額還有多少，他們就可以使用 Cutlet Maker app 上的四個按鈕進行操作了，這四個按鈕的功能如下：

Check Heat：開始吐錢；Start Cooking：列印記錄；Stop：停止「Start Cooking」進程；Reset：重啟整個吐鈔程序；

但是目前，CUTLET MAKER惡意軟體已經被其競爭對手破解，代碼可以在互聯網上輕鬆地訪問到，這也就意味著，任何人都能在無需支付任何費用的情況下使用該惡意軟體工具包破壞ATM設備，或者至少是破壞具有可訪問USB埠的ATM設備。截至目前，CUTLET MAKER的合法開發者並沒有發布更新的版本來解決該問題，ATM安全堪憂！

本文翻譯自：http://securityaffairs.co/wordpress/66819/malware/prilex-atm-malware.html ，http://securityaffairs.co/wordpress/64430/cyber-crime/cutlet-maker-atm-malware.html，如若轉載，請註明原文地址： http://www.4hou.com/info/news/9346.html

推薦閱讀：