Cảnh báo về chiêu cướp tiền máy ATM của tin tặc

Thứ Sáu, 05/05/2017, 13:15
Phần mềm độc hại này được cài đặt và thực hiện từ xa trên một máy ATM của ngân hàng thông qua việc quản lý các máy ATM từ xa. Sau khi cài đặt và kết nối với máy ATM, mã độc ATMitch liên lạc với máy ATM như thể nó là một phần mềm hợp pháp.

Nó cho phép kẻ tấn công thực hiện một số lệnh, ví dụ như thu thập thông tin về số tiền trong ATM. Hơn thế nữa, nó cung cấp khả năng phân phát tiền vào bất cứ lúc nào, chỉ với một nút bấm.

Phần mềm độc hại ATMitch

Thông thường bọn tội phạm sẽ bắt đầu bằng cách lấy thông tin về số tiền mà một máy đang có. Sau đó, một tên tội phạm có thể gửi một lệnh để phân phát một số tiền mặt bất kỳ từ massette của ATM. Sau khi rút tiền theo cách kỳ lạ này, tội phạm mạng chỉ cần lấy tiền và đi. Một vụ cướp ATM như thế này chỉ mất vài giây!

Phần mềm độc hại giúp tin tặc trộm tiền từ cây ATM dễ dàng.

Một khi máy ATM bị cướp xong, mã độc sẽ tự xóa dấu vết của nó. Một ngày các nhân viên ngân hàng phát hiện ra một máy ATM rỗng: Không có tiền, không có dấu vết tương tác vật lý với máy và cũng không có mã độc. Sau khi các chuyên gia của Kaspersky Lab dành thời gian để giải quyết trường hợp bí ẩn này, họ không chỉ hiểu được các công cụ tội phạm mạng sử dụng mà còn tái tạo lại cuộc tấn công, phát hiện ra sự vi phạm an ninh tại ngân hàng.

Cụ thể, vào tháng 2-2017, Kaspersky Lab đã công bố kết quả điều tra vụ tấn công bí mật nhắm vào các ngân hàng, mà bọn tội phạm mạng sử dụng mã độc trong bộ nhớ để xâm nhập vào mạng lưới ngân hàng. Nhưng tại sao chúng lại làm chuyện này? Vụ ATMitch đã cho chúng ta hiểu toàn bộ bức tranh.

Vụ điều tra bắt đầu ngay sau khi các chuyên gia pháp lý của ngân hàng khôi phục và chia sẻ với Công ty công nghệ chống virus Kaspersky Lab hai tập chứa các bản ghi phần mềm độc hại từ ổ cứng của máy ATM (kl.txt và logfile.txt). Đây là các tập duy nhất còn sót lại sau cuộc tấn công. Trong các tập tin nhật ký nói trên, các chuyên gia Kaspersky Lab đã xác định được các phần thông tin bằng văn bản thuần túy giúp tạo ra quy tắc YARA để tìm ra mẫu.

Quy tắc YARA là các chuỗi tìm kiếm cơ bản giúp các nhà phân tích tìm, nhóm và phân loại các mẫu mã độc có liên quan và thu thập các kết nối giữa chúng dựa trên các hoạt động đáng ngờ trên hệ thống. Sau một ngày chờ đợi, các chuyên gia đã tìm thấy mẫu phần mềm độc hại mong muốn - "tv.dll", sau đó được đặt tên là ATMitch.

Vẫn chưa biết được ai đứng đằng sau những vụ tấn công này. Việc sử dụng mã khai thác nguồn mở, các tiện ích phổ biến của Windows và các tên miền không xác định trong suốt giai đoạn đầu của quá  trình hoạt động khiến việc xác định nhóm chịu trách nhiệm là gần như không thể. Tuy nhiên, mã độc "tv.dll" được sử dụng trong giai đoạn tấn công ATM chứa các nguồn tiếng Nga, và các nhóm được biết đến có thể phù hợp với hồ sơ này là GCMAN và Carbanak.

Đường dây tin tặc chiếm quyền điều khiển máy ATM để rút tiền ở châu Á

Với cách thông thường, bọn tội phạm khó lòng để trộm tiền từ máy rút tiền tự động ATM, vì thế, bọn chúng đã sử dụng một trong những phương pháp thông dụng nhất để lừa đảo và rút tiền từ đây là sử dụng một thiết bị vật lý, gắn bên ngoài khe cắm thẻ của các máy ATM để thu thập thông tin của chủ thẻ, tạo ra một cái thẻ giả mạo và rút tiền. Báo WST cho hay.

Chúng tinh vi không để lại dấu vết.

Theo báo chí Trung Quốc, hai người đàn ông Ukraina bị bắt giữ tại Macau được cho rằng, đã cài đặt thành công virus vào 7 máy ATM tại Macau. Điều này giúp chúng dễ dàng trộm tiền từ những cây ATM này. Hai bị cáo đã bị bắt giữ mới đây bởi các nhà chức trách tại Macau, nhưng khoảng 7 máy ATM đã bị hai đối tượng đến từ Ukrania xâm nhập thành công lấy đi khoảng 100.000 USD bằng phương pháp cài virus giống như trên.

Theo các nhà chức trách, những người đàn ông bị cáo buộc sử dụng một thiết bị màu xanh để thực hiện việc rút trộm tiền. Đầu tiên họ kết nối điện thoại với một máy tính xách tay và sau đó chèn nó vào khe cắm thẻ trên máy ATM. Các thiết bị được sử dụng bởi những tên tội phạm chứa đựng nhiều thông tin. Sau khi đưa các thiết bị vật lý vào khe cắm thẻ ATM, bọn tội phạm cài đặt thành công các phần mềm độc hại có khả năng lấy đi thông tin thẻ tín dụng của khách hàng, bao gồm cả mã PIN.

Các nguồn tin từ ngân hàng cho biết, khi thiết bị này được lắp vào khe cắm tiền mặt, nó tạo ra các chương trình độc hại chạy trên máy ATM để phá hoại giúp những kẻ tội phạm có thể dễ dàng rút tiền. Sau đó máy sẽ khởi động lại ngay sau khi thiết bị vật lý được lấy ra. Bất cứ ai sử dụng máy ATM sau đó sẽ trở thành nạn nhân, các chương trình virus ẩn bắt đầu ghi lại số thẻ tiền mặt, mã PIN và các thông tin khác được nhập của khách hàng.

Các nghi phạm sau đó quay trở lại máy ATM để thu thập thông tin thẻ bằng cách sử dụng cùng một loại thiết bị màu xanh lá cây và sau đó, chúng dùng một con chip đặc biệt để xóa dấu vết về chương trình phạm tội. Người ta tin rằng với cách này chúng đã tích lũy ít nhất 63 thông tin thẻ bị đánh cắp. Tiếp đến, tội phạm sử dụng thông tin thẻ tiền mặt này để tạo một thẻ rút tiền mới. Công nghệ tương tự như thế này đã không còn mới, nhưng bọn tội phạm vẫn dùng mọi cách để thực hiện.

V. Nguyễn-L.T. (tổng hợp)
.
.