Torna l’infector degli apparecchi bancomat

Sette anni fa, nel 2009, abbiamo assistito ad un tipo di attacco completamente nuovo, nei confronti delle banche. Nella circostanza, anziché infettare i computer di migliaia di utenti sparsi in tutto il mondo, i criminali hanno colpito direttamente gli apparecchi bancomat, compromettendo gli stessi con un temibile malware, denominato Skimer. Sette anni dopo, il nostro Global Research and Analysis Team è stato interpellato, assieme al Penetration Testing Team, per fornire un’adeguata risposta ad un serio incidente informatico. Nell’occasione, è stata individuata, da parte dei nostri esperti, una nuova versione di Skimer, decisamente migliorata rispetto alla precedente.

Infezioni in stile virus

I cybercriminali, spesso, hanno offuscato il malware da essi dispiegato mediante l’utilizzo di appositi packer, allo scopo di rendere più difficoltosa l’analisi da parte dei ricercatori. Hanno fatto ugualmente ricorso a tale metodo anche i malfattori che si celano dietro il nuovo Skimer, utilizzando, nella fattispecie, il packer Themida, disponibile in commercio, attraverso il quale vengono “impacchettati” sia l’infector che il dropper.

Una volta eseguito, il malware controlla se il file system è di tipo FAT32. Se, effettivamente, lo è, esso recapita il file netmgr.dll nella cartella C:\Windows\System32. Se si tratta, invece, di un file system di tipo NTFS, il medesimo file verrà inserito nel flusso di dati NTFS corrispondente al file eseguibile del servizio XFS. L’inserimento del file in un flusso di dati NTFS viene effettuato, con ogni probabilità, per rendere più difficile e complessa l’analisi forense.

Una volta terminata con successo l’installazione, il sample provvede a “patchare” l’entry point dell’eseguibile XFS (SpiService.exe), allo scopo di aggiungere una chiamata LoadLibrary al file netmgr.dll, recapitato in precedenza. Anche questo file risulta protetto attraverso il packer Themida.

Torna l'infector degli apparecchi bancomat

L’entry point in SpiService.exe prima dell’infezione

Torna l'infector degli apparecchi bancomat

L’entry point in SpiService.exe ad infezione avvenuta

Al termine del processo di installazione, l’apparecchio bancomat viene riavviato. La libreria malevola sarà quindi caricata in SpiService.exe grazie alla nuova chiamata LoadLibrary; in tal modo, verrà fornito, alla stessa, il pieno accesso all’XFS.

Funzionalità

A differenza di Tyupkin, che presentava una sorta di codice magico ed un intervallo di tempo specifico in cui il malware si rivelava attivo, Skimer si “sveglia”, in pratica, soltanto quando viene inserita una carta “magica” (contenente specifici dati Track 2; vedi i relativi IoC – Indicators of Compromise – nella parte finale del presente blogpost). Si tratta di un metodo sicuramente astuto per implementare il controllo dell’accesso alle funzionalità del malware.

Una volta inserita la “magic card”, il malware è pronto per interagire con due differenti tipi di carta, ognuno provvisto di funzioni diverse:

  1. Carta di tipo 1 – richiesta comandi attraverso l’interfaccia
  2. Carta di tipo 2 – esecuzione del comando hardcoded nel Track2

Dopo l’espulsione della carta, all’utente viene presentato un apposito form, in cui si richiede di inserire la chiave di sessione in meno di 60 secondi. L’utente, ora, risulta autenticato, ed il malware accetterà 21 codici diversi, per impostare la propria specifica attività. Tali codici dovranno essere inseriti utilizzando il pin pad.

Riportiamo, qui di seguito, un elenco delle funzionalità più importanti:

  1. Visualizzazione dei dettagli di installazione;
  2. Erogazione denaro – 40 banconote provenienti dalla cassetta specificamente indicata;
  3. Inizio raccolta dati relativi alle carte inserite;
  4. Stampa dati raccolti, relativi alle carte introdotte;
  5. Auto-eliminazione;
  6. Modalità di debug;
  7. Aggiornamento (il codice per eseguire l’aggiornamento del malware risulta incorporato nella carta stessa).

Durante la sua attività, il malware in causa provvede ugualmente a creare i seguenti file, o flussi NTFS (a seconda del tipo di file system). Questi file vengono utilizzati dal malware in fasi diverse della propria attività, come, ad esempio, il salvataggio della configurazione; la memorizzazione dei dati “letti” sulla carta; la registrazione delle attività condotte:

C:\Windows\Temp\attrib1 dati della carta raccolti dal traffico di rete o attraverso il lettore di card;
C:\Windows\Temp\attrib4 registra i dati provenienti da varie API, responsabili della comunicazione con la tastiera (di fatto, viene eseguita la registrazione di dati quali, ad esempio, il numero di pin);
C:\Windows\Temp\mk32 lo stesso di attrib4;
C:\Windows\Temp:attrib1 lo stesso del file omologo;
C:\Windows\Temp:attrib4 lo stesso del file omologo;
C:\Windows\Temp:mk32 lo stesso del file omologo;
C:\Windows\Temp:opt registra l’attività svolta dal “money mule”.

Torna l'infector degli apparecchi bancomat

La finestra principale

Il seguente video illustra in maniera dettagliata il classico scenario in cui i “muli del denaro” interagiscono con un apparecchio ATM infetto, secondo le modalità qui sopra descritte.

Conclusioni

Durante i recenti casi di Incident Response (risposta agli incidenti) da noi affrontati, correlati alla compromissione di apparecchi bancomat, abbiamo identificato Tyupkin, Carbanak e gli attacchi “black box”. L’evoluzione di Backdoor.Win32.Skimer dimostra, in tutta evidenza, il crescente interesse degli attacker nei confronti di tali famiglie di malware, visto che i bancomat rappresentano, per i cybercriminali, un meccanismo di cash-out particolarmente conveniente.

Un elemento di sicuro rilievo, per quel che riguarda il caso specifico qui esaminato, è costituito dalle informazioni hardcoded nel Track 2; il malware, in pratica, per attivarsi, attende che le stesse vengano inserite nel bancomat. Le banche possono essere in grado di ricercare proattivamente questi numeri di carta all’interno dei loro sistemi di elaborazione, e rilevare, quindi, gli ATM potenzialmente infetti, i money mule, o bloccare i tentativi di attivazione del malware.

Da parte nostra, raccomandiamo ugualmente di effettuare regolari scansioni antivirus, così come di avvalersi di speciali tecnologie di whitelisting; consigliamo, inoltre, l’adozione di un’efficace policy di gestione del dispositivo, la codifica completa del disco, la protezione del BIOS dell’apparecchio bancomat tramite apposita password, consentendo solo l’avvio dell’HDD. Raccomandiamo, infine, di isolare il network ATM da qualsiasi altra rete interna della banca.

Kaspersky Lab ha identificato, per il momento, 49 varianti di tale malware; ben 37 di esse prendono di mira apparecchi bancomat prodotti da un solo costruttore. La versione più recente di Skimer è stata scoperta all’inizio del mese di maggio 2016.

Tutti i sample qui descritti vengono rilevati da Kaspersky Lab come Backdoor.Win32.Skimer. Da parte loro, i file SpiService.exe appositamente “patchati” vengono rilevati come Trojan.Win32.Patched.rb.

L’indagine è ancora in corso; il report completo è stato da noi già condiviso con vari CERT, forze dell’ordine, istituzioni finanziarie e clienti dei servizi di Kaspersky Lab Threat Intelligence-Service. Per ulteriori informazioni si prega di contattare intelreports@kaspersky.com.

Appendice I. Indicatori di Compromissione

Hash

F19B2E94DDFCC7BCEE9C2065EBEAA66C
3c434d7b73be228dfa4fb3f9367910d3
a67d3a0974f0941f1860cb81ebc4c37c
D0431E71EBE8A09F02BB858A0B9B80380
35484d750f13e763eae758a5f243133
e563e3113918a59745e98e2a425b4e81
a7441033925c390ddfc360b545750ff4

Nomi dei file

C:\Windows\Temp\attrib1
C:\Windows\Temp\attrib4
C:\Windows\Temp\mk32
C:\Windows\Temp:attrib1
C:\Windows\Temp:attrib4
C:\Windows\Temp:mk32
C:\Windows\Temp:opt
C:\Windows\System32\netmgr.dll

Dati Track 2

******446987512*=********************
******548965875*=********************
******487470138*=********************
******487470139*=********************
******000000000*=********************
******602207482*=********************
******518134828*=********************
******650680551*=********************
******466513969*=********************

Subscribe now For Kaspersky Lab's APT Intelligence Reports

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *