На прошлой неделе в Таиланде произошли массовые кражи из банкоматов, в которых винят специализированного, доселе невиданного зловреда — RIPPER. Это вредоносное ПО, обнаруженное исследователями из FireEye, позволило злоумышленникам украсть из местных банков 12 млн бат ($378 тыс.).

Новая находка FireEye по времени совпала с сообщением газеты Bangkok Post об ограблении банкоматов. Хотя тайские блюстители правопорядка не упоминают RIPPER, эксперты уверены, что в кражах повинен именно он. Как отметил в блоге FireEye старший вирусный аналитик компании Дэниел Регаладо (Daniel Regalado), эти атаки «дают веские основания полагать, что для кражи из банковских автоматов Таиланда использовался именно этот зловред (RIPPER)».

Чтобы проникнуть в целевой банкомат, атакующие используют специально созданную карту с чипом стандарта EMV. По словам Регаладо, эта карта служит им для аутентификации, позволяя внедрить в систему бэкдор и произвести заражение. «Начав взаимодействовать с RIPPER, злоумышленники вводят команды через клавиатуру, и на экране отображаются множество опций, в том числе способы выдачи денег», — поясняет эксперт.

Из имеющихся сообщений неясно, у кого украли деньги — у банкиров или у их клиентов. Известно лишь, что атакующие ограничивают выдачу 40 банкнотами за одну операцию.

Хотя RIPPER обнаружен впервые, используемая им техника не нова; аналогичным образом работает, к примеру, Skimer, известный с 2009 года и постоянно подвергающийся модификациям. Новейший вариант Skimer был обнаружен экспертами «Лаборатории Касперского» в минувшем мае.

Согласно FireEye, новичок RIPPER отличается от Skimer тем, что полагается на специально созданную банковскую карту с EMV-чипом, а также атакует банкоматы трех ведущих производителей по всему миру. Анализ зловреда показал, что вначале он отключает банкомат от сети, а затем завершает процесс dbackup.exe и подменяет его собственным, как и другие ключевые программные компоненты банкомата.

«RIPPER исследует содержимое директорий, ассоциируемых с целевыми вендорами банкоматов, и заменяет собой легитимные исполняемые файлы, — пишет Регаладо. — Такая техника позволяет зловреду сохранить имя легитимной программы, которое не вызовет подозрений».

Оказавшись в системе, RIPPER обеспечивает себе автозапуск, добавляя запись в раздел \Run\FwLoadPm реестра Windows. По окончании атаки вредоносное приложение скрывается с помощью API-функции ShowWindow. Зараженный автомат при этом по-прежнему отключен от сети банка и неспособен взаимодействовать с ее остальными участниками.

Имена вендоров, банкоматы которых уязвимы к атакам RIPPER, представители FireEye не назвали, лишь отметили: «Это вредоносное семейство можно применять для компрометации платформ множества вендоров, оно также использует необычную технику доступа к физическим устройствам». Bangkok Post тем временем написала, что атакованные банкоматы производит NCR и с 9 июля по 23 августа злоумышленники совокупно провели 21 атаку на изделия этой компании.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры