據(jù)外媒12月17日?qǐng)?bào)道,趨勢(shì)科技的安全研究人員于近期發(fā)現(xiàn)了一種名為PRILEX的ATM惡意軟件,旨在瞄準(zhǔn)巴西銀行進(jìn)行針對(duì)性攻擊、竊取ATM用戶的信息。
卡巴斯基實(shí)驗(yàn)室于今年10月發(fā)現(xiàn)了第一起PRILEX攻擊,而趨勢(shì)科技分析認(rèn)為PRILEX具有非典型的行為,因?yàn)镻RILEX只會(huì)影響特定品牌的自動(dòng)取款機(jī),這種非典型行為表明惡意軟件是為高度針對(duì)性的攻擊而設(shè)計(jì)的。被發(fā)現(xiàn)的ATM惡意軟件通過掛鉤某些動(dòng)態(tài)鏈接庫(kù)(DLL)來(lái)工作,并將其替換為自己的應(yīng)用程序屏幕。
這些惡意代碼所針對(duì)的DLL是:
○ P32disp0.dll
○ P32mmd.dll
○ P32afd.dll
一旦感染ATM,PRILEX惡意軟件就會(huì)kill掉銀行應(yīng)用進(jìn)程、顯示特定的虛假屏幕誘導(dǎo)用戶提供帳戶驗(yàn)證碼。據(jù)悉,該驗(yàn)證碼原本是作為雙因素身份驗(yàn)證過程的一部分提供給用戶的,而惡意軟件將會(huì)捕獲并存儲(chǔ)該驗(yàn)證碼,同時(shí)惡意軟件PRILEX會(huì)試圖將信用卡數(shù)據(jù)和帳戶驗(yàn)證碼發(fā)送回C&C服務(wù)器,這對(duì)于ATM惡意軟件來(lái)說(shuō)是非常罕見的行為。因此研究人員推測(cè),這家銀行的 ATM 機(jī)很可能是相互聯(lián)網(wǎng)的,攻擊者似乎對(duì)這些特定的設(shè)備非常熟悉。
除了惡意軟件PRILEX之外,趨勢(shì)科技的研究人員還分析了近期發(fā)現(xiàn)的CUTLET MAKER ATM惡意軟件,該軟件在暗網(wǎng)上以5000美元左右的價(jià)格出售。
惡意軟件CUTLET MAKER可以通過侵入特定ATM供應(yīng)商的API接口后清空設(shè)備所有現(xiàn)金,而無(wú)需與銀行用戶及其數(shù)據(jù)進(jìn)行交互。不過競(jìng)爭(zhēng)對(duì)手已經(jīng)設(shè)法破解了CUTLET MAKER的代碼,允許任何人免費(fèi)使用它。到目前為止CUTLET MAKER 的作者還沒有發(fā)布新版本來(lái)解決這個(gè)問題。