隐身恶意软件撇渣器帮助黑客轻松窃取自动取款机的现金

安全研究人员发现了一个名为Skimer的恶意软件程序的新版本，该程序旨在感染基于Windows的ATM，可用于窃取金钱和付款卡详细信息。

Skimer最初在七年前发现，但它仍然被网络犯罪分子积极使用并随着时间的推移而发展。由Aspersky Lab的研究人员发现的最新修改，使用新技术来逃避检测。

安装后，恶意软件检查文件系统是否为FAT32或NTFS。如果它的FAT32它会在C：/ Windows / System32目录中丢弃恶意可执行文件，但如果它是NTFS，它将在NTFS数据流中写入与Microsoft的Financial Services（XFS）对应的NTFS数据流中的文件服务。

卡巴斯基研究人员在博客岗位中说，这种技术最有可能使法医学分析更加困难。

XFS服务仅在ATM上存在，并提供特殊的API（应用程序编程接口），使软件能够与ATM的PIN焊盘通信。Microsoft不提供此服务的任何公共文档，但网络犯罪分子可能已经找到了在几年前在ATM制造商NCR中的程序员参考手册中与其互动的必要信息。

新的Skimer版本修改了ATM上找到的合法XFS可执行SPIService.exe，以便加载自己的恶意组件，称为NetMgr.dll。这允许恶意软件与PIN焊盘和读卡器交互。

当用磁条上写入的特殊数据插入ATM时，撇渣器只会醒来。根据卡的轨道2数据，恶意软件将在ATM屏幕上打开其接口，该屏幕需要身份验证，或者将自动执行数据中包含的命令。

在攻击者身份验证后，他可以通过接口发出命令以从ATM的内部盒式磁带处分配纸币，从而开始收集插入在ATM中的卡的详细信息，以更新恶意软件或卸载它。

“关于这种情况的一个重要细节是Track2中的硬编码信息 - 恶意软件等待将其插入到ATM中以激活，”卡巴斯基研究人员表示。“银行可以在其处理系统内主动寻找这些卡号码，并检测可能感染的ATM，金钱骡子或阻止尝试激活恶意软件。”

Skimer只是旨在感染近年来发现的ATM的几个恶意软件程序之一，这表明这种攻击方法在网络犯罪分子中越来越受欢迎。

过去已在过去的ATM上安装恶意软件程序的方式。在某些情况下，它由内部人员安装。在别人中，它是通过从CD驱动器启动使用特殊键在打开ATM的前壳后启动。

如果他们“重新连接到银行的内部网络或使用被盗的远程支持凭据，攻击者也可以妥协ATM。

卡巴斯基研究人员建议常规防病毒扫描，使用白名单技术，良好的设备管理策略，全磁盘加密，保护ATM BIOS使用密码，仅允许HDD从其他内部银行网络隔离ATM。