Criminelen halen pinautomaten leeg met nieuwe malware
Cybercriminelen blijken met behulp van malware pinautomaten in zijn geheel te kunnen leegroven. De malware maakt het mogelijk door een pincode in te voeren de automaat het aanwezige geld uit te laten geven.
Het gaat om de GreenDispenser malware, die ontdekt is door het beveiligingsbedrijf Proofpoint. De malware kan vermoedelijk alleen worden geïnstalleerd door aanvallers die fysieke toegang weten te verkrijgen tot pinautomaten. Proofpoint vermoedt dan ook dat bankmedewerkers die verantwoordelijk zijn voor het beheer van de automaten betrokken zijn bij aanvallen met de malware.
Tijdelijk buiten gebruik
Indien een pinautomaat met de GreenDispenser malware wordt besmet kan deze een ‘tijdelijk buiten gebruik’ melding laten zien, waardoor ‘normale’ gebruikers de machine niet kunnen gebruiken. Zodra de juiste pincode wordt ingevoerd werkt het apparaat echter wel degelijk en kunnen aanvallers geld uit de automaat halen.
De malware zou veel lijken op malware voor pinautomaten die eerder al werd ontdekt. In functionaliteiten zou de malware veel overeenkomsten vertonen met de malware Padpin. GreenDispenser bevat echter een aantal unieke functionaliteiten. Zo bleek de malware die door Proofpoint was onderzocht zichzelf automatisch uit te schakelen in september 2015. Waarschijnlijk is deze feature ontworpen om de kans op detectie van de malware te verkleinen.
Twee-staps-authentificatie
Daarnaast wordt twee-staps-authentificatie gebruikt. Naast een hardcoded pincode moet ook een dynamische pincode worden ingevoerd. Deze dynamische pincode is uniek voor iedere installatie van de malware en zorgt dus dat alleen de aanvallers die de malware hebben geïnstalleerd deze kunnen gebruiken. Deze pincode wordt verstrekt via een QR-code die op het scherm van de pinautomaat wordt vertoond zodra deze met malware wordt geïnfecteerd. Proofpoint vermoedt dat de aanvallers een speciale mobiele app hebben ontwikkeld om de dynamische pincode uit deze QR-code te kunnen bemachtigen.
Tot slot bevat GreenDispenser ook een feature waarmee de malware zijn sporen nauwkeurig uitwist. Hiervoor wordt SDelete van Microsoft gebruikt, dat is ontwikkeld om data permanent te verwijderen. De malware wordt op dit moment in een beperkt aantal geografische gebieden ingezet, waaronder Mexico. Proofpoint waarschuwt dat het echter een kwestie van tijd is voordat de malware ook op andere locaties opduikt.
Meer over
Lees ook
Proofpoint: Noord-Koreaanse hackers stelen miljarden aan cryptocurrency
TA444, een staatsgesponsorde hackersgroep uit Noord-Korea is waarschijnlijk belast met het genereren van inkomsten voor het Noord-Koreaanse regime. Deze aanvallen overlappen met APT38, Bluenoroff, BlackAlicanto, Stardust Chollima en COPERNICIUM. In het verleden waren de pijlen gericht op banken om uiteindelijk geld door te sluizen naar andere dele1
Onderzoek Venafi onthult bloeiende ransomware-marktplaats op het dark web
Venafi maakt de resultaten bekend van een dark web-onderzoek naar ransomware die via kwaadaardige macro's wordt verspreid. Venafi en Forensic Pathways, een specialist in criminele inlichtingen, hebben tussen november 2021 en maart 2022 35 miljoen dark web-URL's geanalyseerd van marktplaatsen en forums, met behulp van de Forensic Pathways Dark Sear1
Proofpoint: Cybercriminelen bereiden zich voor op een wereld zonder macro's
Microsoft kondigde in oktober 2021 en februari 2022 aan dat het XL4- en VBA-macro's standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn uiteindelijk dit jaar van start gegaan. Cybercriminelen hebben hier op gereageerd door af te stappen van macro-gebaseerde aanvallen.