Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Tyupkin, mã độc ATM mới cho phép rút tiền không cần thẻ
Một mã độc ATM mới được phát hiện cho phép kẻ xấu rút tiền mà không cần thẻ. Bên cạnh đó, mã độc được trang bị cơ chế bảo vệ mới, chỉ cho phép trả lời các chỉ thị lệnh trong những khoảng thời gian xác định.
Mã độc được các nhà nghiên cứu của Kaspersky phân tích và đặt tên là Tyupkin. Tyupkin hoạt động trên hệ thống máy ATM của cùng một nhà sản xuất và chạy hệ điều hành Windows 32 bit.
Có vẻ như việc lây nhiễm mã độc được thực hiện thông qua phá vỡ lớp bảo vệ vật lý của hệ thống. Kẻ xấu sau đó truy cập vào trong máy tính, lây nhiễm mã độc từ một đĩa CD boot.
Tương tác với mã độc được bảo vệ
Kẻ xấu đứng sau Tyupkin đã thực hiện những biện pháp bảo vệ nhất định để đảm bảo chỉ chúng mới có thể kiểm soát được mã độc này. Một trong những biện pháp đó là chỉ cho phép mã độc phản hồi các chỉ thị lệnh vào những thời điểm cụ thể, khi kẻ xấu tới để rút tiền.
Theo quan sát của Kaspersky, Tyupkin phản hồi các tương tác chỉ trong thời điểm đêm chủ nhật và thứ 2.
Thêm vào đó, mã key cho phiên rút tiền cần được nhập trước khi menu chính (nơi mà kẻ xấu có thể thấy lượng tiền mặt có sẵn) hiện ra. Key mở khóa được sinh ra dựa trên một seed hiển thị trên màn hình, do đó chỉ duy nhất người biết thuật toán mới có thể truy cập được menu chỉ thị lệnh.
Nếu nhập mã code sai, mã độc sẽ ngắt kết nối, tránh bị điều tra từ xa.
Các ngân hàng Đông Âu là mục tiêu của Tyupkin
Dựa trên các mẫu phân tích, Tyupkin được cho rằng bắt đầu hoạt động từ khoảng tháng 3 năm nay.
Tuy nhiên, Tyupkin có nhiều biến thể khác nhau, và kẻ xấu đã bổ sung thêm khả năng chống phân tích (chống gỡ lỗi và chống mô phỏng) cùng với khả năng vô hiệu hóa McAfee Solidcore, một ứng dụng an ninh dựa trên công nghệ whitelist động, trên các máy bị nhiễm.
Các nhà nghiên cứu cũng cho biết, hầu hết 50 máy ATM bị ảnh hưởng đều có nguồn gốc từ các ngân hàng tại Đông Âu.
Theo thống kê từ VirusTotal, hầu hết các mẫu Tyupkin gửi đến có nguồn gốc từ Nga. Tuy nhiên, Kaspersky nhận thấy rằng mã độc này còn xuất hiện và lây nhiễm tại Hoa Kỳ, Ấn Độ, Trung Quốc, Israel, Pháp và Malaysia.
Khuyến cáo chung dành cho tất cả các ngân hàng là đảm bảo các biện pháp bảo vệ phù hợp. Ngoài việc đảm bảo anh ninh cho các cây ATM, thì vị trí môi trường đặt các máy rút tiền đảm bảo an toàn đầy đủ ánh sáng và carmera cũng rất cần thiết.
Mã độc được các nhà nghiên cứu của Kaspersky phân tích và đặt tên là Tyupkin. Tyupkin hoạt động trên hệ thống máy ATM của cùng một nhà sản xuất và chạy hệ điều hành Windows 32 bit.
Có vẻ như việc lây nhiễm mã độc được thực hiện thông qua phá vỡ lớp bảo vệ vật lý của hệ thống. Kẻ xấu sau đó truy cập vào trong máy tính, lây nhiễm mã độc từ một đĩa CD boot.
Tương tác với mã độc được bảo vệ
Kẻ xấu đứng sau Tyupkin đã thực hiện những biện pháp bảo vệ nhất định để đảm bảo chỉ chúng mới có thể kiểm soát được mã độc này. Một trong những biện pháp đó là chỉ cho phép mã độc phản hồi các chỉ thị lệnh vào những thời điểm cụ thể, khi kẻ xấu tới để rút tiền.
Theo quan sát của Kaspersky, Tyupkin phản hồi các tương tác chỉ trong thời điểm đêm chủ nhật và thứ 2.
Thêm vào đó, mã key cho phiên rút tiền cần được nhập trước khi menu chính (nơi mà kẻ xấu có thể thấy lượng tiền mặt có sẵn) hiện ra. Key mở khóa được sinh ra dựa trên một seed hiển thị trên màn hình, do đó chỉ duy nhất người biết thuật toán mới có thể truy cập được menu chỉ thị lệnh.
Nếu nhập mã code sai, mã độc sẽ ngắt kết nối, tránh bị điều tra từ xa.
Các ngân hàng Đông Âu là mục tiêu của Tyupkin
Dựa trên các mẫu phân tích, Tyupkin được cho rằng bắt đầu hoạt động từ khoảng tháng 3 năm nay.
Tuy nhiên, Tyupkin có nhiều biến thể khác nhau, và kẻ xấu đã bổ sung thêm khả năng chống phân tích (chống gỡ lỗi và chống mô phỏng) cùng với khả năng vô hiệu hóa McAfee Solidcore, một ứng dụng an ninh dựa trên công nghệ whitelist động, trên các máy bị nhiễm.
Các nhà nghiên cứu cũng cho biết, hầu hết 50 máy ATM bị ảnh hưởng đều có nguồn gốc từ các ngân hàng tại Đông Âu.
Theo thống kê từ VirusTotal, hầu hết các mẫu Tyupkin gửi đến có nguồn gốc từ Nga. Tuy nhiên, Kaspersky nhận thấy rằng mã độc này còn xuất hiện và lây nhiễm tại Hoa Kỳ, Ấn Độ, Trung Quốc, Israel, Pháp và Malaysia.
Khuyến cáo chung dành cho tất cả các ngân hàng là đảm bảo các biện pháp bảo vệ phù hợp. Ngoài việc đảm bảo anh ninh cho các cây ATM, thì vị trí môi trường đặt các máy rút tiền đảm bảo an toàn đầy đủ ánh sáng và carmera cũng rất cần thiết.
Nguồn: Softpedia