VoIP and Hacking | Consulenza Documentazione

Temo fortemente che nell’immediato futuro si sia destinati a sentire diffusamente parlare di truffe a carico del circuito ATM, quello dei Bancomat, per intendersi.
Se ne ha notizia da qualche giorno, tuttavia ora i dettagli della minaccia cominciano ad essere più chiari, grazie al lavoro svolto da SpiderLabs che è stata capace di effettuare una analisi del malware scoperto su alcuni sistemi Windows XP, gestori di sportelli nell’ Europa dell’Est.
Il malware è in grado di catturare i dati della banda magnetica dallo spazio di memoria privato delle applicazioni installate su tali ATMs compromessi, insieme ai codici PIN introdotti.
Il report non indica nei dettagli come gli ATMs vengano infettati, ma si ritiene che il malware sia codificato in una card opportunamente alterata, o emulatore di card, inserita nel lettore dell’ ATM, allo scopo di provocare un buffer overflow. La macchina viene quindi compromessa sostituendo il file isadmin.exe con un omonimo eseguibile di tipo Borland Delphi RAD (Rapid Application Development).
La maliziosa versione di isadmin.exe, come un caricatore, (o dropper), usa quindi le Windows API per installare ulteriore codice maligno sostituendo il file di sistema lsass.exe nella directory C:\WINDOWS. In particolare, contiene una Data Resource (RCDATA) chiamata PACKAGEINFO che a sua volta contiene l’attuale malware.

Una volta che l’ infezione si sia verificata, una card “di controllo” personalizzata può venire utilizzata per raccogliere le informazioni catturate.
Inoltre, grazie ad alcune funzionalità avanzate di management presenti nel codice del malware, l’ attaccate viene posto in grado di controllare interamente la macchina attraverso una interfaccia custom.
I dati catturati possono venire stampati usando la stampante delle ricevute, oppure archiviati attraverso il lettore card in un qualche device di archiviazione. SpiderLabs non ritiene tuttavia che sia presente nel malware alcuna functionalità di networking per l’invio dei dati catturati a postazioni remote via Internet.

Se viene introdotta una normale card, il malware registra le informazioni relative alla transazione in un file temporaneo di nome tr12 nella directory C:\WINDOWS. In aggiunta, il malware cattura quelli che ritiene essere PIN, salvando le relative informazioni nel file C:\WINDOWS\kl.

Quando invece viene individuata la card di controllo, appare una piccola finestra che concede all’utente 10 secondi per selezionare una tra 10 possibili opzioni di comando da tastiera:

0 - Restore Logs - Restituisce i files di log alla condizione precedente l'infezione
1 - Uninstall - Cancella i log files trl2 e kl, rimuove il servizio maligno, ripristina l' originale eseguibile lsass.exe
2 - Display Stats - Crea e mostra una finestra che presenta statistiche (numero di transazioni, cards, chiavi) e numero di versione di componenti.
3 - Delete Logs - Cancella i log files C:\WINDOWS\trl2 e C:\WINDOWS\kl
4 - Reboot ATM - Regola i privilegi del malware e quindi forza un reboot del sistema.
5 - Test Printer - Serve a testare la stampante delle ricevute incorporata nell' ATM stampando Hello e 123456789.
6 - Print Collected - Stampa i dati catturati, in formato crittato (DES), attraverso la stampante incorporata nell' ATM.
7 - Secondary Menu - Tale opzione si presenta con una finestra di input.
8 - Supply Manager Information - Il malware tenta di accedere alla user interface dell' originale ATM-software, autenticandosi con una password di default per recuperare informazioni sul contante attualmente presente nella macchina ATM.
9 - Non chiaro/Possibile scrittura su smart card - Sembra essere associato con funzionalità di lettura scrittura di una memory card che potrebbe venire utilizzata per trasferire i dati catturati direttamente in una card inserita nell'ATM.

Per quanto riguarda le opzioni del menu secondario (7), la finestra di dialogo lascia all’utente 30 secondi per introdurre un valore valido tramite la tastiera dell’ATM.
Se viene introdotto un dato valido, viene mostrato un menu del tipo:

1..4 Dispense cassette
9 Uninstall
0 Exit

Con la prima voce è evidentemente relativa alla possibilità di espellere la cassetta del contante.

Send post as PDF to