Вирус RIPPER может стоять за атаками на тайваньские и таиландские банкоматы

Специалисты компании FireEye, работающие в сфере кибербезопасности, защиты организаций от современных вредоносных программ и уязвимостей, выявили вредоносное программное обеспечение, которое могло быть причастно к недавним кражам денег в банкоматах Таиланда и Тайваня. В результате массовых атак на банкоматы в Таиланде, произошедшие на прошлой неделе, злоумышленникам были похищены 12 млн. бат, около $378 тыс.

Вредоносный софт позволяет управлять работой кардридера, заставляя его считывать данные с банковской карты и возвращать ее. Кроме того вирус RIPPER способен выключать сетевой интерфейс банкомата, как и вирус Tyupkin. Чтобы скрыть следы своего присутствие вирусное приложение RIPPER использует API-функции ShowWindow. Специалисты FireEye заявляют, что новый банкоматный вирус может с легкостью обходить установленные лимиты на снятие наличных денег, а также выдавать за один раз более 40 купюр.

При детальном анализе вируса было установлено, что он после заражения зловред отключает банкомат от сети и завершает процесс dbackup.exe, подменяя его собственным. RIPPER проверяет содержимое директорий, связанных с целевыми производителями банкоматов, заменяя собой настоящие запускающие файлы. Данная схема позволяет вирусу сохранить имя настоящей программы без каких-либо подозрений. Внедрившись в систему банкомата, вирус активирует автозапуск путем внесения записи в раздел \Run\FwLoadPm реестра Windows.

Заражение банкомата вирусом RIPPER происходит с использованием специально разработанной карты с чипом стандарта EMV. Карта позволяет злоумышленникам пройти аутентификацию и заразить систему банкомата вирусом. Далее хакеры водят команды через клавиатуру банкомата, на экране которого выводятся различные команды, в том числе и на выдачу наличных.