Máy rút tiền mặt chạy Windows XP có thể lấy cắp mã số cá nhân của bạn

by Davey Winder

Friday, 05 June 2009

Lời người dịch: Cảnh báo cho các ngân hàng có các máy ATM và những người sử dụng rút tiền từ các máy ATM chạy hệ điều hành Windows XP hãy thận trọng đề phòng một loại virus có xuất xứ từ Đông Âu có khả năng lấy cắp mã số cá nhân trên thẻ rút tiền sử dụng công nghệ thẻ từ để lấy cắp tiền từ các máy ATM của người sử dụng.

Đủ tồi rằng những kẻ vô lại thường xuyên cố gắng và tấn công vào các dữ liệu tài chính của bạn thông qua thư điện tử và các website rởm, bây giờ các máy rút tiền cũng đang chịu cảnh đó.

Trustware SpiderLabs, một hãng kinh doanh làm việc với mọi thứ từ đột nhập về đạo đức cho tới trả lời các vấn đề pháp lý về an ninh, đang cảnh báo rằng mạng các máy rút tiền của các ngân hàng đang có rủi ro từ một cuộc tấn công của phần mềm độc hại mà nó thu thập các số mã số cá nhân (PIN).

Các báo cáo của đội SpiderLabs rằng có đã có khả năng thực hiện một phân tích phần mềm độc hại này, mà nó đã bị phát hiện trên các máy rút tiền chạy Windows XP tại Đông Âu.

Phần mềm độc hại này có khả năng chụp các dữ liệu thẻ từ từ không gian bộ nhớ cá nhân của các ứng dụng xử lý giao dịch đã được cài đặt trên các máy ATM bị tổn thương, cùng với mã số cá nhân PIN.

Sự lịch sự của một vài tính năng quản lý cao cấp được tìm thấy bên trong mã nguồn của phần mềm độc hại, những kẻ tấn công có khả năng kiểm soát các máy rút tiền mặt bị tổn thương thông qua một giao diện được tuỳ biến mà nó có thể truy cập được một cách đơn giản bằng việc chèn một thẻ kiểm tra vào lỗ thẻ của máy ATM.

It is bad enough that the bad guys constantly try and phish your financial data via email and fake websites, now cash machines are getting in on the act.

The Trustwave SpiderLabs, an outfit that deals with everything f-rom ethical hacking through to incident response and security forensics, is warning that the bank cash machine network is at risk f-rom a malware attack that collects PIN numbers.

The SpiderLabs team reports that it has been able to perform an analysis of the malware, which had been discovered on compromised East European cash machines running Windows XP.

The malware was able to capture the magnetic stripe data f-rom the private memory space of transaction-processing applications that were installed on these compromised ATMs, along with PIN codes for good measure.

Courtesy of some advanced management functionality found within the malware code, the attackers are able to control the compromised cash machines via a customised interface which can be accessed by simply in-serting a controller card into the ATM card slot.

Các dữ liệu bị đánh cắp có thể sau đó được in sử dụng máy in hoá đơn được xây dựng bên trong máy ATM, hoặc đầu ra thông qua đầu đọc thẻ tới thiết bị lưu trữ phù hợp. Tuy nhiên, SpiderLabs không tin rằng có bất kỳ chức năng mạng nào được xây dựng trong phần mềm độc hại này.

Tôi hiểu rằng phần mềm độc hại này có thể được cài đặt, và được kích hoạt, bằng cách của một Phát triển Ứng dụng Nhanh bằng ngôn ngữ Borland Delphi chạy được và thay thế tệp tiện ích gốc isadmin.exe. Việc chạy thứ này sản xuất ra tệp phần mềm độc hại bên trong thư mục C:\WINDOWS của máy.

Đây không phải là lần đầu tiên an ninh các máy ATM làm cho các khách hàng có thể bị tấn công và nó sẽ không phải là lần cuối cùng. Trustware cảnh báo hãng “khuyến cáo cao độ TẤT CẢ các cơ quan tài chính với các máy ATM nằm dưới sự quản lý tiến hành phân tích về môi trường của họ để xác định liệu phần mềm độc hại này hoặc tương tự có hiện diện hay không. Trustware đã thu thập được nhiều phiên bản của phần mềm độc hại này và vì thế, cảm thấy rằng nó tiến hoá cùng với thời gian.

The stolen data can then be printed using the receipt printer built into the ATM, or output via the card reader to a suitable storage device. SpiderLabs do not believe that there is any networking functionality built into the malware, however.

I understand that the malware can be installed, and activated, by way of a Borland Delphi Rapid Application Development executable that replaces the original isadmin.exe utility file. Executing this d-ropper produces the malware file within the C:\WINDOWS directory of the machine.

This is not the first time that ATM security has left customers vulnerable nor will it be the last.
Trustwave warns it "highly recommends ALL financial institutions with ATMs under management perform analysis of their environment to identify if this malware or similar malware is present. Trustwave collected multiple version of this malware and therefore, feels that over time it will
evolve."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com