Ripper بدافزار جدید دستگاه های خودپرداز

در فاصله 19 تیر تا 2 شهریور ماه مهاجمان توانسته اند با استفاده از بدافزار جدیدی با عنوان Ripper، مبلغ 378 هزار دلار را از دستگاه های خودپرداز تایلند سرقت کنند.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت FireEye، این مهاجمان از طریق کارت های بانکی دستکاری شده EVM، دستگاه های خودپرداز را آلوده به بدافزار Ripper کرده اند.

دلیل انتخاب این نام برای این بدافزار که توسط محققان شرکت FireEye شناسایی شده وجود بخشی در کد آن با عنوان ATMRIPPER اعلام شده است.

Ripper از جهاتی مشابه خانواده بدافزار Skimer است. اما Skimer برای آلوه نمودن دستگاه، نیازمند دسترسی به دستگاه از طریق شبکه داخلی بانک است؛ در حالی که Ripper با استفاده از یک کارت بانکی دستکاری شده EVM می تواند به دستگاه نفوذ کند.

تحلیل های شرکت FireEye، نشان می دهد که Ripper سه نوع دستگاه خودپرداز با سیستم عامل Windows را هدف قرار می دهد.

بدافزار ابتدا ارتباط شبکه ای خودپرداز را غیرفعال کرده و پس از متوقف نمودن پروسه dbackup.exe، پروسه مخرب خود را جایگزین آن می کند. 

در ادامه Ripper محتوای پوشه های مرتبط با سازندگان دستگاه های خودپرداز را بررسی کرده و فایل های اجرایی مجاز آنها با را پروسه های مخرب خود جایگزین می کند. با این کار پروسه های بدافزار با نام ها و در مسیرهای مجاز اجرا می شوند.

با اجرا شدن Ripper، سارقان قادر خواهند بود تا از طریق صفحه کلید دستگاه خودپرداز اقدم به برداشت پول کنند.

با پایان کار مهاجمان، Ripper با فراخوانی ShowWindow GUI API خود را مخفی می کند.

بدافزار مذکور توسط ضدویروس های McAfee و Bitdefender بترتیب با نام های RDN/BackDoor-ATRip و Generic.Malware.STk.B47CEAA6 شناسایی می شود. 

شرکت FireEye نامی از دستگاه های خودپرداز آسیب پذیر نبرده است.

مشروح گزارش شرکت FireEye در اینجا قابل مشاهده است.