Skimer-malware maakt comeback in geldautomaten

Een bank ontdekt dat hij is aangevallen, maar vreemd genoeg is er geen cent gestolen en het systeem van de bank lijkt onaangetast. De criminelen zijn zonder buit vertrokken. Of toch niet?

Trefwoorden: #Backdoor.Win32.Skimer, #hacker, #kasperky, #malware, #Skimer, #virus

Lees verder

Nieuws

( Foto: Kaspersky Lab )

ENGINEERINGNET.BE - In 2009 was Skimer de eerste kwaadwillende software die het op geldautomaten had gemunt. De malware kende zijn hoogtijdagen tussen 2010 en 2013. Het heeft er echter alle schijn van dat Backdoor.Win32.Skimer opnieuw het virtuele toneel heeft betreden.

Kaspersky Lab meldt dat het inmiddels 48 aanpassingen heeft gevonden, waarvan er 37 hun pijlen richten op hetzelfde merk geldautomaten. Het meest recente familielid werd eind april 2016 ontdekt.

De eerste stap van de criminelen is toegang verwerven tot de geldautomaat, fysiek of via het interne netwerk. Als Backdoor.Win32.Skimer eenmaal met succes is geïnstalleerd, infecteert het de kern van de geldautomaat: het deel van de software dat verantwoordelijk is voor interacties met de bancaire infrastructuur, geldverwerking en creditcards.

Als de automaat eenmaal is besmet, kunnen de criminelen alle contanten opnemen en de data van betaalkaarten kopiëren. Dit zijn feitelijk twee verschillende operaties: de gestolen contanten zullen meteen worden ontdekt, terwijl de malware zich lange tijd kan vergrijpen aan de betaalkaarten. In de praktijk komt Skimer meestal niet meteen in actie maar verzamelt een aantal maanden de data van kaarten en pinpassen.

De malware wordt door de criminelen gewekt door een speciale kaart in te voeren. De gegevens op die kaart geven Skimer de opdracht om het ‘ingebakken’ commando uit te voeren óf het beheerdersmenu te activeren. Na het verwijderen van de kaart, wordt een getal (challenge) zichtbaar waarna de crimineel één minuut de tijd heeft om de juiste ‘pincode’ in te voeren. Gebeurt dat correct dan wordt het beheerdersmenu weergegeven.

In de meeste gevallen kiezen de hackers ervoor om niet meteen te cashen, maar de data van de geskimde betaalkaarten te verzamelen, zodat ze deze later kunnen kopiëren. Met de kopieën nemen ze vervolgens terloops geld op bij andere, niet geïnfecteerde automaten. Op deze manier zorgen ze ervoor dat het even duurt voordat hun misdadige praktijken worden ontdekt.

"In dit specifieke geval is er een belangrijke tegenmaatregel voorhanden”, aldus Sergey Golovanov, Principal Security Researcher bij Kaspersky Lab. “Backdoor.Win32.Skimer leest de negencijferige code op de magneetstrip van de speciale kaart (van de criminelen, redactie) om vast te stellen of hij in actie moet komen. We hebben deze ingebakken codes geïdentificeerd en kunnen ze op verzoek delen met de banken."

"Zodra de banken over deze nummers beschikken, kunnen ze er in hun systemen proactief naar op zoek gaan, zodat ze potentieel geïnfecteerde geldautomaten en 'money-mules' kunnen opsporen of alle activatiepogingen van de malware kunnen blokkeren."

"Aangezien dit een lopend onderzoek betreft, delen we het volledige rapport met een selectief publiek bestaande uit lokale onderwijsautoriteiten, CERT’s, financiële instellingen en bepaalde vna onze klanten."


ACHTERGROND
De geografische spreiding van (mogelijk) geïnfecteerde geldautomaten is zeer groot, maar België en Nederland lijken niet tot de getroffen landen te behoren. De 20 meest recente uploads zijn afkomstig uit de Verenigde Arabische Emiraten, Frankrijk, de Verenigde Staten, Rusland, Macao, China, de Filippijnen, Spanje, Duitsland, Georgië, Polen, Brazilië en Tsjechië.