Criminelen halen pinautomaten leeg met nieuwe malware
Cybercriminelen blijken met behulp van malware pinautomaten in zijn geheel te kunnen leegroven. De malware maakt het mogelijk door een pincode in te voeren de automaat het aanwezige geld uit te laten geven.
Het gaat om de GreenDispenser malware, die ontdekt is door het beveiligingsbedrijf Proofpoint. De malware kan vermoedelijk alleen worden geïnstalleerd door aanvallers die fysieke toegang weten te verkrijgen tot pinautomaten. Proofpoint vermoedt dan ook dat bankmedewerkers die verantwoordelijk zijn voor het beheer van de automaten betrokken zijn bij aanvallen met de malware.
Tijdelijk buiten gebruik
Indien een pinautomaat met de GreenDispenser malware wordt besmet kan deze een ‘tijdelijk buiten gebruik’ melding laten zien, waardoor ‘normale’ gebruikers de machine niet kunnen gebruiken. Zodra de juiste pincode wordt ingevoerd werkt het apparaat echter wel degelijk en kunnen aanvallers geld uit de automaat halen.
De malware zou veel lijken op malware voor pinautomaten die eerder al werd ontdekt. In functionaliteiten zou de malware veel overeenkomsten vertonen met de malware Padpin. GreenDispenser bevat echter een aantal unieke functionaliteiten. Zo bleek de malware die door Proofpoint was onderzocht zichzelf automatisch uit te schakelen in september 2015. Waarschijnlijk is deze feature ontworpen om de kans op detectie van de malware te verkleinen.
Twee-staps-authentificatie
Daarnaast wordt twee-staps-authentificatie gebruikt. Naast een hardcoded pincode moet ook een dynamische pincode worden ingevoerd. Deze dynamische pincode is uniek voor iedere installatie van de malware en zorgt dus dat alleen de aanvallers die de malware hebben geïnstalleerd deze kunnen gebruiken. Deze pincode wordt verstrekt via een QR-code die op het scherm van de pinautomaat wordt vertoond zodra deze met malware wordt geïnfecteerd. Proofpoint vermoedt dat de aanvallers een speciale mobiele app hebben ontwikkeld om de dynamische pincode uit deze QR-code te kunnen bemachtigen.
Tot slot bevat GreenDispenser ook een feature waarmee de malware zijn sporen nauwkeurig uitwist. Hiervoor wordt SDelete van Microsoft gebruikt, dat is ontwikkeld om data permanent te verwijderen. De malware wordt op dit moment in een beperkt aantal geografische gebieden ingezet, waaronder Mexico. Proofpoint waarschuwt dat het echter een kwestie van tijd is voordat de malware ook op andere locaties opduikt.
Meer over
Lees ook
Supermalware The Mask bespioneert overheden, diplomaten en olie- & gassector
De supermalware The Mask bespioneert al zeker zes jaar lang ongemerkt allerlei doelwitten. De malware richt zich op zowel overheden en diplomaten als de gas- en oliesector. Dit stelt Kaspersky, dat meer details over de zeer geavanceerde malware bekend heeft gemaakt. De malware heeft van zijn makers de naam 'Careto' gekregen, wat het Spaanse woord1
Hackers verstoppen malware in metadata van PNG-bestand
Hackers zijn erin geslaagd malware te verstoppen in PNG-afbeeldingen. De malware nestelt zich in de metadata van de afbeeldingen en worden hierdoor op dit moment nog niet door virusscanners gedetecteerd. De nieuwe distributiemethode voor malware is ontdekt door de analist Peter Gramantik van het beveiligingsbedrijf Securi. Gramantik beschrijft de1
Supermalware The Mask vormt meest geavanceerde cyberbedreiging
Stuxnet was tot nu toe de meest geavanceerde malware. Het lijkt er echter op dat Stuxnet door een nieuw ontdekte vorm van malware van de troon is gestoten. De 'supermalware' The Mask wordt omschreven als 'de meest geavanceerde cyberbedreiging van dit moment'. De malware Stuxnet is wereldberoemd. De malware viel gericht Iraanse nucleaire installati1