Criminelen halen pinautomaten leeg met nieuwe malware
Cybercriminelen blijken met behulp van malware pinautomaten in zijn geheel te kunnen leegroven. De malware maakt het mogelijk door een pincode in te voeren de automaat het aanwezige geld uit te laten geven.
Het gaat om de GreenDispenser malware, die ontdekt is door het beveiligingsbedrijf Proofpoint. De malware kan vermoedelijk alleen worden geïnstalleerd door aanvallers die fysieke toegang weten te verkrijgen tot pinautomaten. Proofpoint vermoedt dan ook dat bankmedewerkers die verantwoordelijk zijn voor het beheer van de automaten betrokken zijn bij aanvallen met de malware.
Tijdelijk buiten gebruik
Indien een pinautomaat met de GreenDispenser malware wordt besmet kan deze een ‘tijdelijk buiten gebruik’ melding laten zien, waardoor ‘normale’ gebruikers de machine niet kunnen gebruiken. Zodra de juiste pincode wordt ingevoerd werkt het apparaat echter wel degelijk en kunnen aanvallers geld uit de automaat halen.
De malware zou veel lijken op malware voor pinautomaten die eerder al werd ontdekt. In functionaliteiten zou de malware veel overeenkomsten vertonen met de malware Padpin. GreenDispenser bevat echter een aantal unieke functionaliteiten. Zo bleek de malware die door Proofpoint was onderzocht zichzelf automatisch uit te schakelen in september 2015. Waarschijnlijk is deze feature ontworpen om de kans op detectie van de malware te verkleinen.
Twee-staps-authentificatie
Daarnaast wordt twee-staps-authentificatie gebruikt. Naast een hardcoded pincode moet ook een dynamische pincode worden ingevoerd. Deze dynamische pincode is uniek voor iedere installatie van de malware en zorgt dus dat alleen de aanvallers die de malware hebben geïnstalleerd deze kunnen gebruiken. Deze pincode wordt verstrekt via een QR-code die op het scherm van de pinautomaat wordt vertoond zodra deze met malware wordt geïnfecteerd. Proofpoint vermoedt dat de aanvallers een speciale mobiele app hebben ontwikkeld om de dynamische pincode uit deze QR-code te kunnen bemachtigen.
Tot slot bevat GreenDispenser ook een feature waarmee de malware zijn sporen nauwkeurig uitwist. Hiervoor wordt SDelete van Microsoft gebruikt, dat is ontwikkeld om data permanent te verwijderen. De malware wordt op dit moment in een beperkt aantal geografische gebieden ingezet, waaronder Mexico. Proofpoint waarschuwt dat het echter een kwestie van tijd is voordat de malware ook op andere locaties opduikt.
Meer over
Lees ook
Proofpoint: Cybercriminelen bereiden zich voor op een wereld zonder macro's
Microsoft kondigde in oktober 2021 en februari 2022 aan dat het XL4- en VBA-macro's standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn uiteindelijk dit jaar van start gegaan. Cybercriminelen hebben hier op gereageerd door af te stappen van macro-gebaseerde aanvallen.
Wat te doen als je het slachtoffer wordt van een ransomware-aanval
Als je een IT-beheerder vraagt waar hij van wakker ligt zal het antwoord zeer vaak ‘ransomware’ zijn. Logisch, want elke medewerker kan door simpelweg op een link te klikken of een kwaadaardig bestand te downloaden zonder het te weten een ransomware-aanval ontketenen. In hun wanhoop zijn organisaties al snel geneigd om losgeld te betalen om weer t1
Ransomwarebesmettingen eerste kwartaal al verdubbeld ten opzichte van 2021
Het totale aantal ransomwarebesmettingen was in het eerste kwartaal van dit jaar al verdubbeld ten opzichte van heel 2021. Dat concludeert WatchGuard Technologies in de nieuwste editie van het Internet Security Report. De securityspecialist signaleert daarnaast een groei in Powerscript-aanvallen en kwaadaardige cryptomining.