Okradają bankomaty
W krajach Europy Wschodniej zaatakowano 20 bankomatów z systemem Windows XP. Firma TrustWave uważa, że to tylko test i wkrótce można spodziewać się dużej fali ataków w USA i na zachodzie Europy.
Zaatakowane maszyny zostały zarażone szkodliwym kodem, który przechwytuje dane z kart bankomatowych oraz numery PIN. Kod zawiera również własny interfejs użytkownika, który pozwala cyberprzestępcy na odczytanie ukradzionych danych za pomocą specjalnej karty.
Analizy wykazały, że szkodliwy kod najprawdopodobniej nie ma możliwości wysyłania ukradzionych danych przez sieć, ale pozwala na ich zapisanie na magnetycznym nośniku włożonym do bankomatowego czytnika kart. Okazało się również, że przestępcy wyposażyli swój program w funkcję, dzięki której możliwe jest wyjęcie z bankomatu kasetki z pieniędzmi.
"To oprogramowanie jest niepodobne do żadnego innego. Daje atakującemu całkowitą kontrolę nad bankomatem, pozwala zdobyć wszystkie dane, numery PIN i pieniądze z każdej maszyny. Sądzimy, że to dopiero początek, a przyszłe wersje szkodliwego kodu zostaną wyposażone w nowe funkcje, takie jak np. zarażanie kolejnych bankomatów przez sieć. Jeśli przestępca uzyska dostęp do jednej maszyny, szkodliwy kod będzie ewoluował i automatycznie rozprzestrzeniał się na inne systemy" - napisali specjaliści z TrustWave.
Infekcja jest przeprowadzana za pomocą pliku isadmin.exe, który stanowi część oprogramowania Borland Delphi Rapid Application Development. Po jego uruchomieniu, właściwy szkodliwy kod jest istalowany w pliku lsass.exe w katalogu głównym systemu Windows. Następnie dochodzi do manipulacji usługą Protected Storage, wskutek czego fałszywy lsass.exe jest uznawany za prawdziwy, w miejsce autentycznego pliku znajdującego się w podkatalogu system32.
Szkodliwe pliki wyposażono też w mechanizm autostartu na wypadek awarii, dzięki czemu zawsze pozostają aktywne.
Mariusz Błoński
