“受伤”的又是ATM机？专家发现新型恶意软件ATMJackpot

你是否幻想过ATM机对着自己源源不断地吐出货币搭建的金山银山?无论答案肯定与否，此类事件经黑客组织的“努力”，已经在世界各地频出不穷。

2017年5月，欧洲刑警组织在欧洲各地逮捕了27起针对ATM机的黑客攻击案;

2018年1月，美国黑客组织利用“Jackpotting”攻击从ATM提款机窃取100多万美元;

2018年3月，据称Carbanak集团的负责人在西班牙被警方逮捕，该集团涉嫌在一家银行网络主席窃取约8.7亿英镑(10亿欧元)。

近年来，黑客攻击ATM机窃取现金已成为一个日益严重的现实问题，最初主要在欧洲和亚洲。2017年，欧洲刑警组织警告，ATM攻击正在增加。“正在使用的恶意软件已经发生了显着变化，攻击的范围和规模也成比例增长，”欧洲刑警组织EC3网络犯罪中心主管史蒂文威尔逊说。

而Netskope威胁研究实验室3月底发现的新型恶意软件ATMJackpot似乎也印证了这个看法。该恶意软件似乎源于中国香港，并于2018年3月28日在二进制文件上有时间戳。该恶意软件可能仍在开发中。与以前发现的恶意软件相比，此恶意软件具有较小的系统占用空间，如图1，它的图形用户界面非常简单。

显示主机名以及服务提供商信息，例如自动提款机，密码键盘和读卡器信息。

通常，ATM恶意软件通过使用USB接口的物理访问传播到ATM，并且还通过网络通过使用复杂技术将恶意软件下载到被攻陷的ATM机器上。Netskope 网络检测到恶意软件ATMJackpot的下载信息为：Variant.Razy.255528。

技术分析：

ATMJackpot恶意软件首先将Windows类名称“WIN”注册到负责所有恶意软件活动的窗口过程中，如图2所示：

图2

然后恶意代码创建该窗口，在窗口中填充选项并启动与XFS管理器的连接。如图3

图3

XFS管理器实现访问API，以控制来自不同供应商的ATM设备。如图4

图4

恶意软件开启与服务提供商和注册的会话以监控事件并执行命令。然后打开与自动提款机，读卡器和密码键盘服务提供商的会话。

图5.从键盘读取(密码)数据

图6.分配现金

图7.弹出提款卡

由此不难看出，一旦与服务提供商的会话打开，恶意软件就能够监视事件并发出一连串命令进行资金转移。

恶意软件ATMJackpot将来是否会被改进并投入使用，目前尚未得知，但这却提醒了人们——如何保护ATM机及其系统安全这一议题的关注度值得进一步提升。

（来源：安知讯）