Skip to main content

Do ATMs Face New Malware Threat?

Research about a new malware attack aimed at U.S. ATMs is garnering attention, but security experts disagree about how threatening this type of attack really is.

ATM networks are actually very secure




















In April, researchers at security and computer forensics firm Group-IB said they'd discovered new strain of malware designed to target card data stored on or transmitted through point-of-sale devices. While the Group-IB's report notes ATMs, the company says the malware it had identified had only, so far, been affecting POS systems. The mention of ATMs related more to cultural differences in Eastern Europe. The terms ATM and POS are more often used interchangeably there, Group I-B states.

However, since publishing the report, the company has noted that ATMs could be vulnerable, if the networks that process their transactions are attacked by malware.

But Gary Warner, director of research for computer forensics at the University of Alabama at Birmingham and chief technologist at online security firm Malcovery, says ATM networks are actually very secure. While Trojans aimed at retailer POS systems and networks, such as those that targeted MAPCO Express, Bashas' Family of Stores and Schnucks Markets Inc. are increasingly common, attacks on ATMs are rare, he says. 

Warner contends the real worry for banking institutions is not attacks on ATMs, but the insiders who often facilitate the compromises. "The most vulnerable POS systems are the ones where insiders, or worse yet, customers, have the ability to insert a USB drive to a Windows-based register that has an attached card reader," he says. "Mall kiosks are perhaps the most likely place to see this type of software, as the kiosks are often left logged-in and unattended."

Nevertheless, some security consultants say banks and credit unions should view new malware as a serious threat to ATMs.

"It's the logical evolution of skimming," says Al Pascual, a financial fraud expert at consultancy Javelin Strategy & Research. "How the malware functions is nothing new, but hackers have leveraged their experience in compromising Windows-based POS systems to now do the same with ATMs."

Pascual says banking institutions in the U.S. and abroad have reported increases in ATM fraud. "Unfortunately, that increase is likely to persist with the advent of this new threat," he says.

Dump Memory Grabber 


The malware identified by Group-IB, called Dump Memory Grabber by Ree[4], can attack any Windows-based system, the firm's researchers say. The typical attack uses an .exe file for RAM memory scanning of credit card data when the network is attacked and then transmits logs containing intercepted card data through FTP gateways, researchers say.

Group IB says attacks using Dump Memory Grabber have been successful through remote access against POS devices and systems running on Windows XP and Windows Embedded. The firm's researchers also point out that the malware could exploit similar vulnerabilities in ATMs that are connected through virtual private networks or wireless Global System for Mobile, or GSM, and General Packet Radio Service, or GPRS, networks.

But Warner believes that assumption is a bit of a leap. "I see absolutely nothing to indicate infections of ATMs," Warner says.

"In the past, it has been shown that certain ATM machines were actually managed through some form of remote terminal, including remote desktop or VNC [virtual network computing]," he says. "The implication here is that it would be possible to install this malware onto an ATM machine directly if the ATM machine was running remote desktop on Windows and the hackers either had credentials or the ability to acquire, brute force, or hack the RDP/VNC installation on the ATM." But those scenarios aren't likely, Warner says. 

The researcher believes that the Dump Memory Grabber is not really new. "My belief right now is that Dump Memory Grabber by Ree - the malware by Wagner Richard that Group-IB talked with - is actually the same malware that Symantec calls vSkimmer and that others call BlackPOS," he says.

vSkimmer is believed by some to have been the malware used in the February attack on Bashas' corporate network that allowed hackers to gain access to the retailer's internal systems and capture sensitive payment information.

Serious Threat? 


Jerome Segura, a senior researcher at malware-detection provider Malwarebytes, says the threats outlined by Group-IB should not be taken lightly.

"I've obtained a copy of an actual malware file and it pretty much does what it's supposed to do: hook onto the system, then call back the command-and-control server located in Russia," he says. "Probably the most difficult part might be to get the malware onto an ATM or point-of-sale machine. But since everything is wired, one could think that hacking into a company's network could give them access."

Segura acknowledges, however, that an attack on an ATM would more likely occur through an insider - someone who is able to intentionally load malware while servicing the machine.

Like Warner and Segura, fraud analyst Shirley Inscoe, who works for the consultancy Aite, says employees and contractors are often the sources of attacks that compromise systems and devices, such as ATMs.

"Fraud rings have been known to target institutions and have members of their rings apply for certain positions in an effort to facilitate their crimes," she says. "They also have been known to do everything from paying employees to do certain things - or not to do certain things, such as comply with policies - to threatening members of employees' families to gain their cooperation. So, in a nutshell, while I have no substantive proof that employees may be enabling much of this fraud, I would be very surprised if they are not enabling some portion of it."

Comments

Popular posts from this blog

Кокаин попал в меня во время секса

Чемпион мира по прыжкам с шестом Шон Барбер не нарушил спортивных правил и имел право выступать на Олимпиаде в Рио-де-Жанейро, несмотря на положительную допинг-пробу на кокаин. Как заявила Федерация легкой атлетики Канады, наркотик попал в организм спортсмена без его ведома.

В случае признания виновным Барберу угрожала дисквалификация со стороны Канадского центра по этике в спорте сроком до двух лет. Комиссии, рассматривавшей его дело 5 августа, он сообщил, что наркотик попал в его организм через поцелуй.

22-летний атлет рассказал, что вечером накануне национального отборочного турнира Олимпиады-2016 он разместил анкету на сайте знакомств в интернете, где написал, что ищет случайной связи с девушкой "чистой от наркотиков и болезней".

Как выяснилось в ходе разбирательства, Барбер искал секса для того, чтобы снять нервное напряжение. Женщина, с которой он имел контакт, пояснила, что употребляла наркотик перед свиданием, а во время их встречи поцеловала атлета несколько раз, н…

Как найти заливщика на карту

Своего первого реального заливщика, который показал мне как можно скачать деньги в интернет с банковских счетов, я нашел случайно, когда еще трудился в Укртелекоме сменным инженером немного подрабатывая продавая трафик налево, но потом этот человек отошел от дел в связи со слишком уж скользкой ситуацией в данной сфере, и я решил поискать партнера на форумах, разместив рекламу на трёх электронных досках объявлений. Честно говоря поначалу даже был готов сразу закинуть 500 000 гривен в Гарант, но потом призадумался, а стоит ли?

Ко мне начал обращаться народ обращается разных категорий

1. Дебильная школота, которая что-то любит повтирать про свою серьезность и просит закинуть 10 000 USD им на Вебмани в качестве аванса 
2. Реальные мэны, которые льют сразу большую сумму по SWIFT без разговоров про гарантии и прочую шнягу, но после того, как им отдаёшь нал, они сразу пропадают, суть данных действий я так и не понял. зачем пропадать, если всё прошло гладко? 3. Мутные личности, берущие реквизиты …

Обзор инжектов и автозаливов

Не так давно в украинском сегменте интернета появился новый сервис по написанию автозаливов (АЗ) и инжектов. 

Судя по рекламным объявлениям ребята работают более двух лет в этой сфере и гарантируют высокое качество выпускаемого программного продукта, с возможностью реализовать практически любые задумки заказчика.

Основной спектр услуг этой компании довольно большой.

GRABBER
Баланс
Залив – АЗ любой сложности, независимо от того что нужно для залива (актив и пассив)
Данные на вход 
Обходы на входе 
Обходы внутри (токена, ридера и так далее, даже если валид тайм меньше минуты)
Реплэйсеры 
Подмены баланса любой сложности, с проверкой списания, расчетом баланса в траншах

ADMIN PANEL
Grabber
АЗ
Обходов
Подмен и всего остального

С каждым новым инжектом база технологий совершенствуется, имеется множество уникальных js прототипов, php фрэймворков и т.д., ниже представленная коллекция постоянно пополняется новыми и свежими идеями.  Они больше не используют куки, ajax в обычном смысле его понимания, - можете заб…

Black Hat SEO или бот для скликивания контекстной рекламы

На днях мне стало интересно, а каким образом с точки зрения «черных» методов SEO могут быть использованы хакерские программы – например, путем генерации трафика для заинтересованных ресурсов или скликивания контекстной рекламы AdWords или Яндекс.Директ
Понятно, что увеличение числа посетителей на сайте интернет-магазина или компании, занимающейся недвижимостью, вероятнее всего положительно скажется на их доходах. Поэтому разработка подобного типа программ — вполне себе обыденное дело, и появились такие программы уже давно. По большей части таких ботов можно разделить на два класса — это различного рода Adware, которое распространяется вместе с популярными программами, или трояны, которые осуществляют более серьезную модификацию системы.  Win32/Patched.P Давай для начала рассмотрим достаточно экзотический, но от этого не менее интересный способ подмены результатов поиска в популярных поисковых сервисах Яндекс и Google, который был реализован в троянской программе Win32/Patched.P (ESET)…

Залив на карту и BitCoin mining при помощи ботнета

Если у вас есть 1,9 млн. ботов, как вы будете зарабатывать деньги? Похоже, дроповоды всё уже придумали

Один мой знакомый дроповод в настоящее время пытается внедриться в ботнет ZeroAccess с целью дальнейшего его использования для обогащения, и уже сейчас получен ответ на вопрос: что выгоднее дроповодам — использовать ботов для манипуляций с «цифровой валютой» (биткойнами) или же «накликивать» рекламные объявления?



В блоге одного из нальщиков сказано, что ботнет, составленный в текущий момент 1,9 миллионов заражённых машин, выходит далеко за пределы необходимых ресурсов для законного биткойн-майнинга.

Сам по себе биткойн-майнинг является вполне законной деятельностью, а в последнее время процесс значительно усложнился: теперь зачастую для этого требуется специализированное оборудование с «интегральными схемами специального назначения» (ASICs), чтобы процесс майнинга стал действительно прибыльным. Но запуск такого оборудования на современных компьютерах «съест» больше электрической энергии…