Theo một bài đăng trên blog của Securelist, phần mềm độc hại sử dụng trong cuộc tấn công lần này có tên tạm gọi ATMitch với mục đích phát ra nhiều lệnh đến các máy ATM bị xâm nhập, bao gồm đếm số lượng tiền giấy trong máy rút tiền và nhả tiền chỉ với một nút bấm.
“Sau khi rút tiền theo cách độc đáo này, bọn tội phạm chỉ cần lấy tiền trước khi rời khỏi cây ATM. Một vụ cướp máy ATM như thế này chỉ mất vài giây”, Kaspersky cho biết.
Được biết, Kaspersky lần đầu tiên báo cáo về chiến dịch tấn công mới của bọn tội phạm từ hồi cuối tháng 2. Kẻ tấn công khai thác một lỗ hổng bảo mật để lây nhiễm mã độc đến hệ thống nạn nhân. Mã này được ẩn trong bộ nhớ làm cho nó khó phát hiện và theo dõi. Từ đó tin tặc có thể lợi dụng các tiện ích hoặc công cụ Windows hợp pháp để bí mật thiết lập kết nối đến máy tính từ xa.
Báo cáo mới nhất của Kaspersky cũng trình bày chi tiết những gì diễn ra sau các bước nói trên: kẻ tấn công có thể điều khiển và kiểm soát máy chủ từ xa thực hiện cài đặt phần mềm độc hại ATMitch để tạo ra tập tin có tên command.txt. Lúc này phần mềm độc hại sẽ thực hiện lệnh mã hóa tập tin command.txt trước khi loại bỏ tập tin command.txt chứa nhật ký hoạt động khỏi ổ cứng máy ATM nhằm xóa các bằng chứng. Kaspersky lưu ý thêm rằng ATMitch sử dụng thư viện chuẩn XFS để điều khiển các máy ATM.
Vào thời điểm báo cáo đầu tiên về cuộc tấn công được ban hành, có tổng cộng hơn 140 doanh nghiệp trên toàn thế giới đã bị nhiễm bệnh bởi cách thức tấn công này, trong đó có 21 doanh nghiệp tại Mỹ.
Kaspersky cho biết ATMitch được phát hiện trong quá trình điều tra vụ trộm cắp nhắm vào ngân hàng Nga trong tháng 6.2016. Theo các chuyên gia, dựa vào bản ghi phần mềm độc hại từ ổ cứng của ATM, họ đã phát hiện ra ATMitch.
Bình luận (0)