جدی‎تر شدن تهدید بدافزارهای خودپرداز

به گزارش واحد امنیت سایبربان؛ بدافزار Skimer اولین برنامه مخربی بود که به خودپردازها حمله می‌کرد. هفت سال بعد، مجرمان سایبری روسی دوباره از این بدافزار استفاده کرده‌اند اما این بار، هم تبهکاران و هم خود برنامه تکامل‌یافته‌اند تا حتی به‌عنوان تهدیدی قوی‌تر برای بانک‌ها و مشتریان آن‎ها در سراسر جهان ظاهر شوند.  

تیم کارشناسی آزمایشگاه کسپرسکی ردپای یک نسخه بهبودیافته از بدافزار Skimer را روی یکی از خودپردازهای بانکی کشف کرده است. این بدافزار روی خودپرداز قرار می‌گیرد و تا زمانی که مجرمان سایبری پیام کنترل‎کننده را برای آن نفرستند، غیرفعال می‌ماند. این تکنیک به مجرمان یک مکانیسم مؤثر برای پنهان کردن حقه خود ارائه می‌کند.     

یک حمله‌ی Skimer با دسترسی به سامانه ATM شروع می‌شود حال این دسترسی چه از طریق فیزیکی باشد یا از طریق شبکه درونی بانکی. سپس بعد از نصب موفقیت‌آمیز Skimer روی سامانه، هسته‌ی خودپرداز آلوده می‌شود. این بدافزار با فرآیندهایی که مسئول تراکنش‌های سامانه با زیرساخت بانکی، فرآیند پردازش پول نقد و کارت‌های اعتباری هستند، همراه شده است. 

سپس مجرمان می‌توانند کنترل کاملی روی دستگاه‌های خودپرداز آلوده داشته باشند. اما آن‎ها بااحتیاط عمل می‌کنند. به‌محض اینکه یک دستگاه خودپرداز با در ِ پشتی Skimer آلوده شد، مجرمان می‌توانند تمام وجوه خودپرداز را دریافت کرده و یا داده‌های کارت‌هایی را که به‌وسیله این دستگاه استفاده‌شده‌اند، استخراج کنند که شامل شماره‌حساب‌های بانکی مشتری و پین کدهای آنان است. این بدافزار به‌صورت مخفیانه، همچون یک مأمور مخفی مشغول جمع‌آوری اطلاعات است تا زمانی که فعال شود. 

همچنان که کارشناسان کسپرسکی می‌گویند، تبهکاران از یک روش خاص برای بازگرداندن داده‌ها استفاده می‌کنند:  

برای فعال کردن این بدافزار، مجرمان یک کارت خاص را وارد می‌کنند که رکوردهای خاصی در درون نوار مغناطیسی آن است. بعد از خوانده شدن این رکوردها، Skimer می‌تواند فرمان‌های تعبیه‎شده را اجرا کند و یا فرمان‌های درخواستی را از طریق یک فهرست خاص به‌وسیله‌ی کارت فعال کند. رابط کاربری تصویری Skimer تنها هنگامی‌که کارت خارج شود و مجرمان بخش صحیح کلید را از دستگاه پایانه شعب در داخل یک فرم خاص در کمتر از ۶۰ ثانیه قرار دهند، روی صفحه ظاهر می‌شود. 

با کمک این فهرست، مجرمان می‌توانند ۲۱ فرمان مختلف را فعال کنند، همچون توزیع پول (۴۰ صورت‎حساب از یک فهرست خاص)، جمع‌آوری جزئیات کارت‌های قرار داده‌شده، پاک کردن خودکار، به‎روزرسانی (کد بدافزار به‎روزرسانی شده در درون تراشه کارت) و غیره. هنگامی‌که جزئیات کارت جمع‌آوری شد، Skimer می‌تواند پرونده‎ها را با رمزهای عبور روی تراشه‌ی همان کارت ذخیره کند و یا می‌تواند جزئیات کارت‌هایی را که جمع‌آوری‌شده است روی رسید خودپرداز ذخیره کند. 

داده‌های سرقت شده از کارت‌ها می‌تواند برای ایجاد نسخه‌های تقلبی از این کارت‌ها بعدها به کار رود، فرایندی که با نوآوری‌هایی در کد و تراشه بسیار مشکل شده است اما هنوز هم در بسیاری از مناطق جغرافیایی کاربرد دارد.  

Skimer اولین بار به‌صورت گسترده مابین سال‌های ۲۰۱۰ تا ۲۰۱۳ شروع به فعالیت کرد. ظهور آن‎ها موجب ایجاد زنجیره‌های دیگری از بدافزارهای خودپرداز نظیر خانواده Tyupkin که در ماه مارس ۲۰۱۴ کشف‌شده، و تبدیل به معمول‌ترین و گسترده‌ترین تهدید از نوع خود شده بود، گردید. امسال اما گانگستر جهان بدافزارهای خودپرداز با ارائه‌ی Skimer بازگشته است.   

در حال حاضر آزمایشگاه کسپرسکی ۴۹ تغییر از بدافزارهای Skimer را شناسایی کرده که ۳۷ مورد از آن‎ها به خودپردازها حمله می‌کنند و تنها یکی از آن‎ها از یک سازنده‌ی عمده بوده است. جدیدترین نسخه‌ی آن‎ها در ابتدای ماه می سال ۲۰۱۶ کشف‌شده است. 

با کمک نمونه‌های ارائه‌شده به VirusTotal تصویری از یک توزیع جغرافیایی بسیار وسیع‌تر از خودپردازهای آلوده‌شده را می‌توان دید. آخرین ۲۰ نمونه‌ از خانواده‌‌ی Skimer در بیش از ده نقطه مختلف جغرافیایی در دنیا ثبت‌شده‌اند: 

امارات متحده عربی، فرانسه، آمریکا، روسیه، ماکائو، چین، فیلیپین، اسپانیا، آلمان، گرجستان، لهستان، برزیل و جمهوری چک. این نمونه‌ها یا از بانک و یا ازیک‌طرف ثالثی که در مورد آلودگی‌های مشکوک تحقیق می‌کرده است، ثبت‌شده‌اند. 

جزییات بیشتر در مورد این تحقیق را می‌توان از وبلاگ محققان امنیتی آزمایشگاه کسپرسکی الگا کوچتوا  و الکسی اوسیپوف  مطالعه کرد که در آن ویژگی‌های کدهای نوشته‌شده و شاخص‎های سازگاری مرتبط با بدافزار شرح داده‌شده است.