盜取使用者金融卡密碼的木馬程式,居然直接被安裝在銀行的自動櫃員機中!資安業者Trustwave在東歐地區某些安裝Windows XP作業系統的提款機裡,發現了犯罪集團植入的惡意軟體,會從交易處理程式中擷取磁條資料與密碼,甚至操縱提款機。
Trustwave副總裁暨SpiderLabs資安實驗室主管Nicholas Percoco表示,這個惡意程式被安裝到提款機的作業系統之後,會開始監視交易應用軟體的內部數據,一旦發現含有使用者的金融卡資料,便會將這些資料與隨後輸入的帳戶密碼一併記錄下來。
他表示,只要在提款機的讀卡器中插入特製的控制卡,便可以啟動惡意程式的管理介面。此時提款機會顯示特別針對ATM介面所設計的10個命令選項,只要按下數字鍵,即可選擇想要執行的命令,包括列印收集到的帳戶資料、刪除這個惡意程式、還原提款機Log檔以湮滅足跡等,甚至還可以控制提款機吐出存放的全部現鈔。
 |
| ▲資安人員在安裝Windows XP作業系統的Diebold提款機中發現木馬程式,並研判這個程式仍在持續更新修改。(Photo: skyfaller) |
專家還發現,犯罪集團也懂得區分系統存取權限。特製的控制卡還分成兩種等級,具備完整管理權限的高階卡顯然是僅供組織內的「主管」專用,而低階「職員」使用的普通卡則只具備較少功能。
木馬程式收集到的帳戶密碼資料,可以透過受感染提款機本身的收據印表機輸出,也可以經由讀卡機介面另外存放到其他儲存裝置上,但根據Trustwave測試,這個資料匯出功能似乎還無法正常運作。分析這個木馬程式後,並未發現具有網路功能,因此目前應該還無法透過網路連線,將竊得的帳戶密碼資料傳送到網際網路上的其他遠端位置。
Percoco指出,自2007年下半年以來,這個惡意程式已經更新了16次版本,更新改版的速度很快,顯示駭客正在持續努力改進。同時他也警告,這個惡意程式目前仍屬於相對早期的版本,未來恐怕會大幅擴充其功能。
Diebold公司表示,這個惡意程式必須經由機箱內部介面才能安裝,只有擁有權限打開提款機的人才做得到,因此研判有可能是內部人員所為,將會持續監控調查。
今年三月,Sophos的資安專家曾發現針對Diebold廠牌提款機所設計的木馬程式,Trustwave因此繼續深入追查,並據以進行更深入的分析,發現這個惡意程式不僅能感染Diebold的機器,同時也可以植入到其他廠牌的自動提款機上,但是拒絕提供相關的細節,只透露是安裝Windows XP作業系統的機器。