محققان امنیتی، بدافزار جدیدی کشف کرده اند که با آلوده نمودن دستگاه های خودپرداز (ATM)، نفوذگر را قادر به برداشت پول از دستگاه می کند.
به گزارش شرکت مهندسی شبکه گستر به نقل از سایت Computer World، این بدافزار جدید که به GreenDispenser معروف شده در کشور مکزیک کشف و شناسایی شده است. اما انتظار می رود در آینده ای نزدیک، نمونه های مشابه آن در کشورهای دیگر نیز مشاهده شود.
GreenDispenser اولین بدافزار ویژه دستگاه های خودپرداز نیست. در اکتبر سال 2013، محققان شرکت Symantec از انتشار یک بدافزار از نوع درب پشتی (Backdoor) با نام Ploutus خبر دادند. Ploutus قادر بود که در صورت راه اندازی خودپرداز با یک دیسک راه انداز حاوی بدافزار، اقدام به آلوده نمودن آن دستگاه کند.
نخستین نسخه از Ploutus، به خرابکاران سایبری امکان می داد با اجرای فرامینی خاص از طریق صفحه PIN دستگاه یا یک صفحه کلید خارجی متصل شده به آن، پول را از خودپرداز خارج کنند. نسخه دوم این بدافزار که ماه مارس سال 2014 شناسایی شد قابلیت ارسال پیام متنی به دستگاه را نیز داشت.
بدافزار Ploutus نیز همانند GreenDispenser، در کشور مکزیک ظهور یافت. اما نسخه دوم امکان سفارشی شدن به زبان انگلیسی را نیز داشت که نشان دهنده تمایل گردانندگان آن برای انتشار بدافزار در کشورهای دیگر بود.
به تدریج ایده آلوده نمودن خودپردازها مورد توجه ویروس نویسان بیشتری قرار گرفت. در اکتبر 2014، محققان شرکت ضدویروس Kaspersky نسبت به انتشار بدافزاری با عنوان Tyupkin یا Padpin که تا آن زمان بیش از 50 خودپرداز مؤسسات مالی را در اروپای شرقی آلوده کرده بود، هشدار دادند.
به تازگی نیز محققان شرکت FireEye خبر از کشف بدافزاری با عنوان Suceful داده اند که کارت بانکی را در درون خودپرداز ضبط کرده و سپس به فرمان نفوذگر آن را از دستگاه بیرون می دهد. در واقع، این نوع بدافزارها، راهی برای دور زدن روش هایی همچون EMV است که ساخت و کپی کارت های بانکی را دشوار می کنند.
همانند اکثر بدافزارهای ویژه خودپردازها، GreenDispenser نیز نیازمند دسترسی فیزیکی نفوذگر به ماشین برای نصب شدن است.
به محض نصب شدن، بدافزار خود را به سرویس های XFS تزریق می کند. در دستگاه های خودپرداز مبتنی بر سیستم عامل Windows، این سرویس رابط میان نرم افزار و ابزارهای جانبی دستگاه، همچون صفحه PIN و دستگاه پرداخت کننده پول، است.
با فعال شدن بدافزار، پیام “.We regret this ATM is temporary out of service” بر روی صفحه دستگاه ظاهر می شود. در حالی که مشتریان، دیگر قادر به استفاده از دستگاه نخواهند بود، نفوذگر با وارد نمودن یک PIN خاص که به صورت حرفه ای در درون بدافزار جاسازی شده است به تنظیمات خودپرداز دسترسی پیدا می کند.
جالب آنکه بدافزار GreenDispenser از نوعی روش اصالت سنجی دو مرحله ای استفاده می کند. بدین ترتیب که پس از وارد کردن PIN، دستگاه یک کد QR را نمایش می دهد که احتمالاً نفوذگر با اسکن کردن آن با یک برنامک خاص، به کد دوم دست می یابد.
با وارد کردن کد دوم، نفوذگر به بخش پرداخت کننده پول دسترسی خواهد یافت. همچنین نفوذگر می تواند بدافزار را به نحوی از روی دستگاه پاک کند که امکان بازگردانی آن توسط متخصصان امنیتی بسیار دشوار باشد.
توضیح اینکه بدافزار GreenDispenser توسط ضد ویروس های McAfee و Bitdefender، بترتیب، با نام BackDoor-FCTY!ppad و Trojan.GreenDispenser.XX قابل شناسایی می باشد.