Neue Bedrohung für Geldautomaten: Ripper

Originalbeitrag von Numaan Huq, Senior Threat Researcher

Vor einem Jahr stellten Sicherheitsforscher Einzelheiten zu einer neuen ATM-Schädlingsfamilie namens Ripper vor, die anscheinend in kürzlich erfolgte ATM-Angriffe in Thailand involviert war. Viele der Geldautomaten wurden temporär aus Sicherheitsgründen geschlossen. Die folgende Analyse gibt einen Überblick über die verwendeten Techniken für den Angriff auf Geldautomaten großer Hersteller.

Die Analyse beruht auf der Datei mit der MD5 hash15632224b7e5ca0ccb0a042daf2adc13, die von einem Nutzer aus Thailand im August auf Virustotal hochgeladen wurde.

Im April dieses Jahres arbeitete Trend Micros Forward Looking Threat Research Team zusammen mit Europol EC3 an einem umfassenden Report zu bekannten Bedrohungen für Geldautomaten.

Überblick

Vorliegende Analyse beruht auf der referenzierten ursprünglichen Schadsoftware sowie auf Samples, die von NCR (Hersteller von Geldautomaten-Software) via einem Security Bulletin vom 30. August. Technische Einzelheiten dazu liefert der Originalbeitrag.

Die Schadsoftware wurde Ripper benannt, weil ein Debug PDB-String “W:\ATMRipper\Release\ATMRipper.pdb” vorhanden ist, der darauf hinweist, dass der Name des Projekts ATMRipper war. Ripper kann große Mengen Bargeld von Geldautomaten abheben, auch als “Jackpotting” bekannt. Die Malware liest Daten der eingesteckten Karten ab, sowohl von deren Magnetstreifen als auch vom EMV-Chip. Die Daten können als eine Form der Authentifizierung dienen, um festzustellen, wenn ein Komplize sich am Geldautomaten befindet. Eine Funktion zur Selbstzerstörung ist ebenfalls vorhanden, die alle Spuren vom infizierten System beseitigt. Damit verzögert sich die Entdeckung des Angriffs. Technische Details im Originalbeitrag.

Drei große Geldautomatenhersteller betroffen

Ripper zielt auf drei große Hersteller: Diebold, NCR und Wincor Nixdorf. Die Schadsoftware verwendet die APIs, die von XFS_CONF.dll importiert werden, um .DEFAULT\XFS\LOGICAL_SERVICES abzufragen und die für die Installation spezifischen Namen der XFS-Services zu finden (siehe Originalbeitrag).

Fähigkeiten

Es gibt keine genauen Informationen darüber, welche Daten ausgelesen werden. Ripper könnte die Anleitungen von einer speziell erstellten Karte lesen oder die Kontoinformationen von der Karte stehlen. Der Befehl WFS_CMD_IDC_READ_RAW_DATA kann Daten sowohl vom Magnetstreifen als auch vom EMV-Chip lesen. Die Malware vergleicht die gelesenen Daten mit einer bestimmten Regular Expression:

Bild 1. Lesen der Rohdaten vom Magnetstreifen einer Bankkarte

Da Geldautomaten üblicherweise nicht mehr als 40 Scheine auf einmal ausgeben, sind mehrere Versuche nötig, um das gesamte Bargeld im Automaten zu bekommen. Details dazu liefert der Originalbeitrag.

Nutzermenüs

Ripper zeigt zwei Nutzermenüs für die Interaktion mit dem Angreifer an. Sehr ungewöhnlich ist die Tatsache, dass die angezeigten Optionen nicht aktiviert sind (siehe Originalbeitrag).

Fazit

Da die Sicherheitsforscher keinen Zugang zum Installer/Dropper der Malware hatten, ist nicht klar, ob es weitere Komponten oder Teile für den Angriff gab. Die Schadsoftware ist noch in der Anfangsphase der Entwicklung mit Basisfunktionen. Die gefundenen Samples lassen darauf schließen, dass vor allem Wincor Nixdorf Maschinen im Visier der Angreifer standen, obwohl Diebold und NCR ebenfalls gefährdet sind. Wird Netzwerkfunktionalität hinzukommen, so erhält diese Malware-Familie ein anderes Gefahrenpotenzial.

Im Anhang des Originalbeitrags werden die Geldautomatenbedrohungen miteinander verglichen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*