Подробности о малвари Alice, которая заставляет банкоматы «выплевывать» деньги

Русскоязычный Даркнет Форум

Admin

Original poster
Administrator
Сообщения
909
Реакции
751
Посетить сайт
Вредонос нашли в ноябре 2016 года, но некоторые признаки указывают на то, что Alice была создана еще в 2014 году. Малварь позволяет злоумышленникам похищать деньги из банкоматов, если к устройству есть физический доступ. По мнению специалистов, Alice будет работать с любым банкоматом, если тот использует Microsoft Extended Financial Services (XFS).


alice1.png


Исследователи пишут, что для взлома злоумышленникам необходимо иметь доступ к USB или CD-ROM банкомата, чтобы загрузить вредоноса, а затем к материнской плате устройства придется подключить клавиатуру, так как малварь вообще не задействует встроенный клавиатурный блок. Впрочем, возможно, предположение о клавиатуре ошибочно, так как Alice может использовать и Remote Desktop Protocol (RDP), хотя пока исследователи не заметили, чтобы малварь действовала таким образом.

Исследователи пишут, что обнаруженные ими образчики Alice были упакованы посредством коммерческого упаковщика и обфускатора VMProtect, что было призвано защитить малварь. Кроме того, перед началом работы Alice убеждается, что точно запущена на банкомате, для чего производит проверку нескольких записей в реестре и запрашивает специфические DLL.

После запуска Alice создает два файла в root-директории: пустой файл xfs_supp.sys, размером 5 Мб, а также журнал регистрации ошибок TRCERR.LOG. Затем вредонос подключается к периферии CurrencyDispenser1 (в XFS среде – это диспенсер) и запрашивает PIN-код. Если код введен верно, на экране устройства отображается информация о кассетах с деньгами, загруженных в банкомат.

alice3.png
alice4.png


Исследователям удалось выяснить, что Alice поддерживать три команды, каждая из которых имеет своей PIN-код. Первая команда позволяет расшифровать и поместить файл sd.bat в текущую директорию. Данный файл отвечает за удаление Alice. Вторая команда позволяет выйти из программы и инициировать процесс стирания малвари. Третья команда позволяет запустить панель администратора. Получить данные о загруженных в банкомат денежных средствах можно из этой панели. Причем подобрать PIN-код брутфорсом не выйдет, Alice разрешает осуществить ограниченное количество попыток ввода, после чего демонстрирует ошибку.

В итоге для хищения денежных средств атакующему нужно только ввести ID кассеты, и банкомат выдаст деньги. Команда на выдачу средств передается CurrencyDispenser1 через API WFSExecute. И хотя у большинства банкоматов есть лимит выдачи наличных: не более 40 банкнот за один раз, атакующие могут легко обойти это ограничение, повторив операцию многократно. К тому же информация о содержимом кассет будет динамически обновляться на экране.

alice6.png


Исследователи Trend Micro считают, что Alice предназначена для так называемых «денежных мулов», а PIN-коды, которые авторы вредоноса изменяют для каждого образца, используются как дополнительный слой защиты. Это не позволяет «мулам» передавать коды кому-либо еще, и, скорее всего, позволяет авторам Alice отслеживать их работу.
 
  • Like
Реакции: Dembr
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 Разработчик малвари TrickBot приговорен к пяти годам и четырем месяцам тюрьмы Новости в сети 0
Support81 Хакеры используют сертификат VPN-провайдера для подписания малвари Новости в сети 0
Y Продам исходники банковской малвари Cerberus Продажа софта 1
S Посмотри в глаза малвари. Гайд по работе с вредоносными файлами для новичков Полезные статьи 0
K Реверсинг малвари для начинающих. Внедрение shellcode и шифрование malware-кода Уязвимости и взлом 0
S В Китае арестованы создатели малвари Fireball, заразившей более 250 млн устройств Новости в сети 0
Admin СИ, НЛП, Впаривание малвари, как заразить вирусом Полезные статьи 0
Admin Реверсинг малвари для начинающих. Разбираем простой вирус Полезные статьи 0
A Набор людей в команду Alice In The Land Of Malware | Вирусология Корзина 0
A Alice in The Land of Malware | ALICESHOPBOT (Сайт/Бот авто-продаж Telegram) Корзина 0
A Alice in The Land of Malware | Clipper (Главное Честность) Корзина 0
A Alice in The Land of Malware | Ransomware (Шифровальщик) Корзина 0
A Alice in The Land of Malware | Stealer (Воровство всех данных) Корзина 0
A Alice in The Land of Malware | Loader (Загрузчик файлов) Корзина 0
A Alice in The Land of Malware | SHOP SCAM (Сайт/Бот авто-продаж Telegram) Корзина 0

Название темы