Исследователи компании FireEye обнаружили вредоноса, который, по их мнению, имеет отношение к недавним ограблениям банкоматов на территории Таиланда и Тайваня. Малварь получила название RIPPER, так как в исходных кодах был обнаружен идентификатор ATMRIPPER. Специалисты FireEye сообщают, что никогда не видели ничего похожего.

Этим летом в Таиланде и на Тайване произошли громкие ограбления, в ходе которых злоумышленники похитили из банкоматов различных финансовых организаций более 12,3 млн долларов. Преступники действовали весьма странно: согласно информации правоохранительных органов, злоумышленники использовали некую малварь, которой заражали машины и заставляли их выдать все имеющиеся деньги.

Исследователи FireEye пишут, что обнаруженный ими вредонос, вероятнее всего, связан с этими инцидентами. Отдельно аналитики акцентируют внимание на том факте, что за несколько минут до выхода первой статьи в издании Bangkok Post, в которой сообщалось о массовых ограблениях банкоматов Таиланда, некто неизвестный загрузил на VirusTotal образец RIPPER. Причем загрузка была произведена с таиландского IP-адреса.

Анализ малвари показал, что, в числе прочего, RIPPER демонстрирует те же техники, которые ранее применялись вредоносами Padpin (Tyupkin), SUCEFUL и GreenDispenser. Равно как и SUCEFUL, RIPPER может контролировать работу кардридера и способен скомандовать ему считать информацию с карты, или вернуть ее. RIPPER может отключать сетевой интерфейс банкомата, как это делал Padpin. Для удаления всех следов своей работы, малварь применяет инструмент sdelete, который был замечен в арсенале GreenDispenser. Также малварь способна обойти лимиты, установленные производителем банкоматов, и может заставить машину выдавать более 40 купюр за один раз.

Но есть у RIPPER и отличия. Исследователи сообщают, что RIPPER нацелен на банкоматы трех всемирно известных производителей. Их названия не раскрываются из соображений безопасности, однако в отчете сказано, что ограбления банкоматов на Тайване и в Таиланде как раз затронули машины уязвимых производителей. Напомню, что согласно сообщениям властей данных стран, пострадавшие банкоматы были произведены немецкой компанией Wincor Nixdorf и американской компанией NCR.

Capture
Сравнение данных из открытых источников с результатами анализа, проведенного FireEye

RIPPER заражает машины сразу же, как только в банкомат вставляют специально созданную карту с EMV-чипом. Хотя похожу тактику демонстрировали вредоносы семейства Skimmer, это не очень распространенная методика.

 «Помимо того, что данный способ требует высокой степени технической изобретательности, атаки, подобные той, что обрушилась на банкоматы Таиланда, требуют координации физических и виртуальных действий. А это говорит о внушительной подготовке грабителей», — пишут эксперты.

С подробным техническим анализом малвари можно ознакомиться в блоге компании.

Фото: William Grootonk

Оставить мнение