محققان امنیتی در FireEye یک نقص امنیتی جدی را در داخل دستگاه ATM کشف کرده‌اند که ممکن‌است کارت‌بانکی را درون خودپرداز ضبط کرده و سپس با فرمان نفوذگران، آن‌را از دستگاه بیرون دهد. در واقع، این نوع بدافزارها، راهی برای دور زدن روش‌هایی همچون EMV است که ساخت و کپی کارت‌های بانکی را دشوار می‌کند. همچنین، این بدافزار دستگاه ATM را با نسل بعدی تروجان‌های مخرب آلوده می‌کند و توانایی نگه‌داشتن یک کارت درون دستگاه را دارد و بر اساس اراده هکرها کار می‌کند.

FireEye پیشنهاد می‌کند که مهاجمان می‌توانند از این روش برای هدفمندکردن کارت شما استفاده کنند و هنگامی‌که شما از آنجا دور می‌شوید، کارت شما توسط کلاهبرداران بیرون می‌آید و این به هکرها اجازه می‌دهد بدون توجه به آن از حساب شما استفاده کنند، این بدافزار موسوم به SUCEFUL می‌باشد ظاهراً این نام‌گذاری به سبب تلفظ نادرست واژۀ successful توسط توسعه‌دهندگان است و برای نفوذ به خودپردازها طراحی ‌شده‌است. همچنین هکرها ۱۰۰ میلیون دلار از بانک‌های آمریکایی و بین‌المللی، از طریق این بدافزار سرقت نموده‌اند.

ویژگی بارزی که این بدافزار از هم‌نوعان خود دارد، توانایی حمله به برندهای مختلف خودپرداز است. این بدافزار توانایی آلوده‌سازی خودپردازها، غیرفعال‌سازی هشدارها، رصد کارت‌های بانکی و خواندن اطلاعات آن‌ها را دارا می‌باشد. به‌ویژه بدافزار طراحی‌شده برای هدف قرار دادن دستگاه‌های خودپرداز، جدید نیست، چون تهدیدهای امنیتی در سال 2013 و ۲۰۱۴ فاش شدند که رمز PadPin و Ploutus برای استفاده از کلاهبردار در سراسر جهان جهت خالی‌کردن پول نقد ذخیره‌شده در دستگاه‌های خودپرداز است. اما بدافزارجدید SUCEFUL، یک تهدید پیشرفته را نشان می‌دهد و برای کارت‌های مورد استفاده توسط صاحبان کارت طراحی شده‌است. نمونه‌ای که محققان FireEye موفق به تجزیه‌و‌تحلیل آن شده‌اند از ویروس‌توتال گرفته‌شده و نمونه اولیه این بدافزار در 25 اوت برای اسکن از سوی روسیه آپلود شده‌است، و به نظر می‌رسد که خود دست‌اندرکاران این بدافزار آن را در وب‌گاه ویروس‌توتال ثبت کرده‌اند تا ببینند که آیا بدافزار مورد بررسی توسط موتورهای ضدبدافزاری به‌کار گرفته‌شده در این سرویس آزمایشگاهی، به‌عنوان عاملی مخرب تشخیص داده می‌شود یا خیر.

قابلیت‌های بدافزار SUCEFUL
محققان FireEye از نرم‌افزارهای مخرب خودداری کرده و آن را آزمایش کرده‌اند تا پتانسیل واقعی آن را شناسایی و توانایی آن را پیدا کنند و موارد زیر را شناسایی کرده‌اند:
خواندن تمام اطلاعات کارت اعتباری، خواندن داده‌ها از تراشه کارت اعتباری، کنترل نرم‌افزارهای مخرب با استفاده از پین ATM، کارتهای پرداخت بدهی، کارت‌های‌اعتباری در صورت تقاضا می‌توانند سنسورهای دستگاه ATM را از بین ببرد. مانند دیگر بدافزارهای بانکی، SUCEFUL از میان‌افزار XFS استفاده می‌کند. این میان‌افزار رابطی میان نرم‌افزار (در اینجا بدافزار) و سخت‌افزار است. در این مورد، XFS مدیر به‌عنوان رابط بین نرم‌افزارهای مخرب و تمام لوازم جانبی مجهز به حافظه کار می‌کند. همانطور که می‌توانید در تصویر زیر ببینید؛

همان‌طور که در تصویر بالا طراحی شده‌است، بدافزار وابسته به مدیر XFS و XFS API برای ارتباط با ATM است، این نشان می‌دهد که بدافزار مستقل از فروشنده است و می‌تواند روی چندین فروشنده سخت‌افزاری اجرا شود. در حالی‌که XFS SPI به فروشنده در جهت ارائه قابلیت‌های شخصی در سخت‌افزار وابسته است. این ویژگی‌های این نوع بدافزار را برای هدف قرار‌دادن صاحبان کارت و توانایی بهره‌برداری از دستگاه‌های خودپرداز چند فروشنده‌ای ساخته‌اند که نه تنها برای دزدیدن پول نقد از حساب‌های بانکی بلکه برای دزدیدن کارت‌های اعتباری طراحی شده‌است. همانند اکثر بدافزارهای ویژه خودپردازها،GreenDispenser نیز نیازمند دسترسی فیزیکی نفوذگر به ماشین برای نصب‌شدن است. به محض نصب‌شدن، بدافزار خود را به سرویس‌های XFS تزریق می‌کند.

در دستگاه‌های خودپرداز مبتنی بر سیستم عامل Windows، این سرویس رابط میان نرم‌افزار و ابزارهای جانبی دستگاه، همچون صفحه PIN و دستگاه پرداخت‌کننده پول است. با فعال‌شدن بدافزار، پیام “We regret this ATM is temporary out of service” بر روی صفحه دستگاه ظاهر می‌شود. در حالی‌که مشتریان، دیگر قادر به استفاده از دستگاه نخواهند بود، نفوذگر با وارد نمودن یک PIN خاص که به‌صورت حرفه‌ای در درون بدافزار جاسازی شده‌است به تنظیمات خودپرداز دسترسی پیدا می‌کند.
در پایان پیشنهاد می‌شود که هر کاربر ATM باید در طول تراکنش مراقب دستگاه باشد و اگر هر فعالیت غیر معمول تشخیص داده‌شود، نباید آنها را به صورت بی‌نظیر ترک کند و بلافاصله با بانک تماس بگیرد تا آنها را در مورد مسئله اطلاع دهد.

ترجمه: وحید ذبیح‌اله نژاد