Skimer wraca i znów atakuje bankomaty

W 2009 roku Skimer był pierwszym programem, który atakował bankomaty. Siedem lat później cyberprzestępcy ponownie używają szkodnika, w bardziej zaawansowanej i trudnej do wykrycia formie.

Wyobraźmy sobie następującą sytuację: bank odkrywa, że został zaatakowany. Cały szkopuł w tym, że nie ukradziono żadnych pieniędzy i wydaje się, że system bankowy nie został w żaden sposób zmodyfikowany. Przestępcy po prostu ulotnili się. Czy aby na pewno?

Ugrupowanie Skimer rozpoczyna swoje operacje od uzyskania dostępu do systemu bankomatów – poprzez fizyczny dostęp lub za pośrednictwem wewnętrznej sieci bankowej. Zainstalowany w systemie program typu backdoor jest trudny do wykrycia, gdyż pozostaje nieaktywny do czasu, gdy cyberprzestępca będzie gotowy do podjęcia akcji. Co więcej zamiast zainstalować w bankomacie urządzenie typu skimmer (oszukańcza kopia czytnika kart zakładana na legalny czytnik) w celu pobrania danych z kart, przekształcają w skimmer cały bankomat.

Skimery z przeszłości

Skimery z przeszłości

Aby aktywować zagrożenie, cyberprzestępcy muszą włożyć określoną kartę, która zawiera pewne dane na pasku magnetycznym. Po odczytaniu danych Skimer może wykonać zdefiniowane wcześniej polecenie lub żądać poleceń za pośrednictwem specjalnego menu aktywowanego za pomocą karty. Z pomocą tego menu przestępca może aktywować 21 różnych poleceń, takich jak wypłacenie pieniędzy (40 banknotów ze wskazanej kasety), gromadzenie danych dotyczących wkładanych kart, usunięcie szkodliwego kodu z bankomatu, aktualizacja (z cyberprzestępczej karty) itd. Skimmer może sprawić, że gromadzone dane dotyczące kart mogą być zapisywane wraz z kodami PIN w czipie tej karty specjalnej lub drukowane przy użyciu drukarki wbudowanej w bankomat.

W większości przypadków przestępcy wolą zaczekać i zebrać dane przechwyconych kart w celu późniejszego wykonania ich kopii. Z takimi kopiami idą do innego, niezainfekowanego bankomatu i pobierają pieniądze z kont klientów. W ten sposób przestępcy mogą sprawić, że zainfekowane bankomaty nie zostaną szybko wykryte.

Najnowsza wersja szkodnika została wykryta w tym miesiącu. Kaspersky Lab identyfikuje obecnie 49 modyfikacji tego szkodliwego oprogramowania, z czego 37 atakuje bankomaty tylko jednego z największych producentów. Potencjalnie zainfekowane mogą być bankomaty z 10 lokalizacji na całym świecie m.in. z USA, Rosji, Chin, Zjednoczonych Emiratów Arabskich oraz Polski.

Więcej informacji o szkodniku i porady dla banków znajdują się pod TYM linkiem.

0
Źródło: materiały prasowe - Kaspersky Lab
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.