WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Mã độc Ripper bị nghi đứng sau vụ mất tiền tại máy ATM Thái Lan
Một loại mã độc mới có thể đã đứng đằng sau vụ đánh cắp tiền tại các máy ATM xảy ra tại Thái Lan và có thể ở Đài Loan.
Một mẫu mã độc bị theo dõi khi được tải lên VirusTotal từ một địa chỉ IP Thái Lan, chỉ vài phút trước khi có thông tin về vụ việc 350.000 USD bị lấy cắp từ các máy ATM tại Thái Lan. Theo các chuyên gia FireEye mã độc này còn sử dụng những kỹ thuật chưa từng có trước đây.
Phát hiện một dòng mã độc ATM mới
Các nhà nghiên cứu đã phát hiện thấy một biến thể mã độc mới, có tên gọi Ripper, nhắm mục tiêu tới các máy ATM dựa trên đoạn text được tìm thấy trong mã nguồn malware (ATMRIPPER).
Tuy đây là một dòng mã độc chưa từng xuất hiện nhưng các chuyên gia cho hay họ đã nhận diện được các thành phần cũng được tìm thấy trong các biến thể mã độc ATM khác như Padpin (Tyupkin), SUCEFUL, GreenDispenser và Skimer.
Có khả năng mã độc được tải lên VirusTotal hoặc bởi một trong những hacker đứng sau mã độc này hoặc bởi nhóm điều tra Thái Lan sau khi đã tìm thấy mã độc trên các máy ATM bị ảnh hưởng.
Theo phân tích kỹ thuật, Ripper có nhiều chi tiết liên quan đến các vụ mất cắp tại các máy ATM đã được báo chí Thái Lan đưa tin.
Các tính năng của Ripper trùng khớp với báo cáo về vụ mất cắp tiền trong ATM
Mã độc này gồm một thành phần có khả năng vô hiệu hóa tương tác mạng của các máy ATM khi cần.
Ripper cho phép kẻ tấn công kiểm soát các máy ATM thông qua một thẻ thanh toán có mã xác thực đặc biệt được nhúng trong chip EMV. Các nhà điều tra đã báo cáo các tình tiết tương tự về mã độc được tìm thấy trong các máy ATM bị tấn công.
Các vụ tấn công tại Thái Lan chỉ nhắm mục tiêu vào các máy ATM do NCR sản xuất. Các nhà chức trách nghi ngờ rằng nhóm tin tặc đứng sau vụ tấn công này cũng đứng sau vụ mất cắp 2,18 triệu USD trong máy ATM tại Đài Loan hồi tháng 07/2016. Trong cuộc tấn công tại Đài Loan, tin tặc đã nhắm mục tiêu vào các máy ATM do Wincor Nixdorf sản xuất.
FireEye cho hay Ripper nhắm mục tiêu tới ba nhà cung cấp khác nhau. Tuy tên của các nhà cung cấp này không được đề cập, nhưng cách thức hoạt động của mã độc tương tự.
Hơn nữa, dấu thời gian mã độc được tải lên VirusTotal là ngày 10/07/2016, hai ngày trước khi các cuộc tấn công tại Đài Loan diễn ra.
Ripper mượn các tính năng từ các dòng mã độc ATM khác
Các nhà nghiên cứu lưu ý rằng thành phần của Ripper có chức năng đọc hoặc thoát thẻ theo yêu cầu rất giống với thành phần được tìm thấy trong mã độc SUCEFUL. Trong khi đó kỹ thuật sử dụng thẻ EMV master cho khách hàng lại mượn từ mã độc Skimer.
Các chuyên gia cho biết thêm khả năng vô hiệu hóa kết nối mạng nội bộ giống với mã độc Padpin (Tyupkin) và module tự động xóa an toàn "sdelete" thì lại giống với một thành phần được tìm thấy trong GreenDispenser.
"Ngoài kỹ thuật phức tạp, các cuộc tấn công vào các máy ATM ở Thái Lan cần có sự phối hợp của cả thao tác ảo và thao tác vật lý", nhà nghiên cứu Daniel Regalado của FireEye giải thích. "Điều này nói lên tính chất đáng gờm của những tên tội phạm mạng".
Một mẫu mã độc bị theo dõi khi được tải lên VirusTotal từ một địa chỉ IP Thái Lan, chỉ vài phút trước khi có thông tin về vụ việc 350.000 USD bị lấy cắp từ các máy ATM tại Thái Lan. Theo các chuyên gia FireEye mã độc này còn sử dụng những kỹ thuật chưa từng có trước đây.
Phát hiện một dòng mã độc ATM mới
Các nhà nghiên cứu đã phát hiện thấy một biến thể mã độc mới, có tên gọi Ripper, nhắm mục tiêu tới các máy ATM dựa trên đoạn text được tìm thấy trong mã nguồn malware (ATMRIPPER).
Tuy đây là một dòng mã độc chưa từng xuất hiện nhưng các chuyên gia cho hay họ đã nhận diện được các thành phần cũng được tìm thấy trong các biến thể mã độc ATM khác như Padpin (Tyupkin), SUCEFUL, GreenDispenser và Skimer.
Có khả năng mã độc được tải lên VirusTotal hoặc bởi một trong những hacker đứng sau mã độc này hoặc bởi nhóm điều tra Thái Lan sau khi đã tìm thấy mã độc trên các máy ATM bị ảnh hưởng.
Theo phân tích kỹ thuật, Ripper có nhiều chi tiết liên quan đến các vụ mất cắp tại các máy ATM đã được báo chí Thái Lan đưa tin.
Các tính năng của Ripper trùng khớp với báo cáo về vụ mất cắp tiền trong ATM
Mã độc này gồm một thành phần có khả năng vô hiệu hóa tương tác mạng của các máy ATM khi cần.
Ripper cho phép kẻ tấn công kiểm soát các máy ATM thông qua một thẻ thanh toán có mã xác thực đặc biệt được nhúng trong chip EMV. Các nhà điều tra đã báo cáo các tình tiết tương tự về mã độc được tìm thấy trong các máy ATM bị tấn công.
Các vụ tấn công tại Thái Lan chỉ nhắm mục tiêu vào các máy ATM do NCR sản xuất. Các nhà chức trách nghi ngờ rằng nhóm tin tặc đứng sau vụ tấn công này cũng đứng sau vụ mất cắp 2,18 triệu USD trong máy ATM tại Đài Loan hồi tháng 07/2016. Trong cuộc tấn công tại Đài Loan, tin tặc đã nhắm mục tiêu vào các máy ATM do Wincor Nixdorf sản xuất.
FireEye cho hay Ripper nhắm mục tiêu tới ba nhà cung cấp khác nhau. Tuy tên của các nhà cung cấp này không được đề cập, nhưng cách thức hoạt động của mã độc tương tự.
Hơn nữa, dấu thời gian mã độc được tải lên VirusTotal là ngày 10/07/2016, hai ngày trước khi các cuộc tấn công tại Đài Loan diễn ra.
Ripper mượn các tính năng từ các dòng mã độc ATM khác
Các nhà nghiên cứu lưu ý rằng thành phần của Ripper có chức năng đọc hoặc thoát thẻ theo yêu cầu rất giống với thành phần được tìm thấy trong mã độc SUCEFUL. Trong khi đó kỹ thuật sử dụng thẻ EMV master cho khách hàng lại mượn từ mã độc Skimer.
Các chuyên gia cho biết thêm khả năng vô hiệu hóa kết nối mạng nội bộ giống với mã độc Padpin (Tyupkin) và module tự động xóa an toàn "sdelete" thì lại giống với một thành phần được tìm thấy trong GreenDispenser.
"Ngoài kỹ thuật phức tạp, các cuộc tấn công vào các máy ATM ở Thái Lan cần có sự phối hợp của cả thao tác ảo và thao tác vật lý", nhà nghiên cứu Daniel Regalado của FireEye giải thích. "Điều này nói lên tính chất đáng gờm của những tên tội phạm mạng".
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: