長時間以來趨勢科技都在致力於研究ATM惡意軟體,特別是那些能夠秘密針對銀行客戶的新病毒家族。在本文裡,我們將會介紹最近兩個值得注意的惡意軟體:Prilex和Cutlet Maker。它們都有特別吸引人的地方,不過是不同的原因。
PRILEX – 一種會劫持銀行應用程式的高度針對性惡意軟體
如果攻擊者知道關於特定自動提款機的一切,那麼這起針對性攻擊/鎖定目標攻擊(Targeted attack )會發生什麼事?
Prilex惡意軟體會竊取受感染ATM使用者的資訊。本起案例來自一家巴西銀行,但想想看到這類攻擊如果出現在你的地區,無論你是客戶還是銀行都會遭受影響。
這個被稱為Prilex的惡意軟體家族在2017年10月首次由被通報。我們解析了這個惡意軟體並發現一些不尋常的東西:它會掛鉤某些動態連結程式庫(DLL),用自己的應用程式畫面來取代別人的。它所影響的外部DLL包括:
- dll
- dll
- dll
我們在網路上搜尋這些DLL,但無法找到任何相關資訊。鑑於這惡意軟體內的字串全是葡萄牙文,我們詢問了我們在該地區的銀行聯絡人。我們發現那些DLL屬於那裡銀行的ATM應用程式。這成為了高度針對性的攻擊。最重要的是,惡意軟體只影響特定廠牌的ATM,這代表攻擊者可能對其進行分析並製作客製化的攻擊。
攻擊方式很簡單。一旦機器受到感染,惡意軟體會與銀行應用程式一起執行,在螢幕出現詢問使用者帳號安全碼時用自己的畫面加以替換。此安全碼是在巴西常見於保護ATM和線上交易的雙因子認證方式。一旦使用者輸入此安全碼,惡意軟體會擷取並加以儲存。
圖1、螢幕顯示詢問帳號安全碼
趨勢科技針對程式碼進行分析後發現在竊取資料後出現了有意思的事情:惡意軟體嘗試與遠端命令和控制(C&C)伺服器進行通訊,並上傳信用卡資料和帳號安全碼。據我們所知,這是第一個假定自己連到網際網路的ATM惡意軟體。由於攻擊者似乎對這家銀行的作法和流程非常熟悉,所以這銀行的ATM很可能有連線。 繼續閱讀
