Группа неизвестных присвоила несколько миллионов долларов, и продолжает похищать средства. Она уже ограбиаи четыре банкомата, принадлежащие одному банку, используя USB–накопитель, содержащий вредоносный DLL–файл, сообщил изданию SecurityWeek исследователь CrowdStrike Тильманн Вернер (Tillmann Werner).

Вернер отказался уточнять название банка, местоположение взломанных банкоматов, или страну, где произошел инцидент. Учитывая количество денег, которое хранится внутри одного банкомата, можно сделать вывод, что мошенники уже присвоили миллионы долларов и продолжают похищать средства.

Возможно, вскоре и другие банки подвергнутся нападению, добавил исследователь. Злоумышленники разобрали банкомат и подключили к порту принтера USB–накопитель, содержащий установщик вредоносного DLL – файла. После того, как DLL – файл внедряется в процесс операционной системы банкомата, Windows XP автоматически перезагружается с помощью кода, расположенном на USB–накопителе. Вредоносная программа собирает информацию о системе и записывает все события на флешку, а также удаляет все следы своего присутствия в системе, чем затрудняет обнаружение транзакций, связанных с кражей денег.

По словам Вернера, банку удалось выяснить подробности атаки благодаря видеонаблюдению.Член банды, “дроп”, вводит в банкомат 12–значный код, чтобы активировать вредоносную программу. После того, как дроп отвечает на контрольный вопрос и вводит правильный код ответа, банкомат начинает выдавать все наличные деньги, пока его сейф не опустеет. Процесс взлома занимает всего несколько минут и часто происходит ранним утром, когда вокруг находится мало людей. Учитывая то, что в банкоматах отсутствуют базовые средства защиты, обезопасить компьютер достаточно сложно, сказал Вернер.

Порт принтера следует заблокировать, или полностью отключить, во избежание возможности использовать USB–накопитель. Создание пароля для защиты системы также станет причиной возникновения трудностей для мошенников при получении доступа к машине. Шифрование жесткого диска также усложнит процесс взлома банкомата.

Конечно, банки должны будут убедиться в том, что пароль загрузки и пароли к жесткому диску сильны, сложны и уникальны. Cтоит отметить, что данный вредонос не связан с известным ранее инцидентом с Ploutus.