بدافزار skimmer به هکر ها این امکان را می دهد تا مخفیانه از خودپردازها پول دریافت کنند
محققین امنیتی به تازگی نسخه جدیدی از بد افزار Skimmer را شناسایی کرده اند که خود پردازهای ویندوزی را آلوده کرده و امکان سرقت اطلاعات کارتهای بانکی و پول را به مهاجمین می دهد.
این بد افزار برای اولین بار هفت سال پیش کشف شد که از آن زمان با روشهای مختلف بهینه شده و روشهای جدیدی را برای فرار از شناسایی استفاده میکند.آخرین نسخه این بد افزار در اوایل اردیبهشت توسط محققین شرکت کسپرسکی کشف شد.
برای نصب، ابتدا بد افزار چک میکند که سیستم فایل FAT32 یا NTFS است. اگر FAT32 بود که یک فایل اجرایی آلوده در مسیرC:windows\system32 ایجاد میکند، اما اگر NTFS بود فایل خود را به صورت NTFS Data Stream با توجه به افزونه سرویس مایکروسافت برای خدمات مالی (XFS) باز نویسی میکند.
این تکنیک بیشتر برای این استفاده می شود تا بررسی این بد افزار توسط آنتی ویروسها پیچیده تر شود.
سرویس XFS فقط روی خود پردازها وجود دارد و برای یک API خاص که به برنامه ها اجازه ارتباط با PIN Pad خود پرداز را می دهد استفاده می شود. مایکروسافت هیچ گونه سند عمومی برای این سرویس تهیه نکرده، اما هکرها ممکن است اطلاعات لازم جهت ارتباط با آن را از طریق یکی از دستورالعملهای سرقت شده از سایتChina E-Books که چند سال پیش مورد سرقت قرار گرفت، بدست آورده باشند.
Skimmer زمانی فعال می شود که یک کارت بانکی خاص با اطلاعات مشخص روی نوار مغناطیسی آن داخل خود پرداز قرار گیرد. بسته به اطلاعات کارت بد افزار صفحه برنامه خود را روی خود پرداز جایگزین میکند که نیازمند وارد کردن رمز کارت توسط صاحب کارت است.
بد از وارد کردن رمز، هکر می تواند دستورهای خود را از طریق صفحه بد افزار اجرا کند و اطلاعات را از خود پرداز استخراج کند.
Skimmer تنها یکی از چندین بد افزار طراحی شده برای خود پردازهاست که در سال های اخیر کشف شده، به نظر میرسد که این روش بین مجرمین سایبری رفته رفته بیشتر مورد استفاده قرار میگیرد.
روشی که این بد افزار روی خود پردازها نصب می شود طی سالها تغییر کرده است. در برخی موارد توسط کارمندان داخلی نصب شده است. در برخی دیگر توسط بوت شدن از روی یک سیدی درایو بعد از باز کردن Case جلوی خود پرداز با کلیدهای خاص.
مهاجمین همچنین می توانند با نفوذ به شبکه داخلی بانک یا با استفاده از اطلاعات مسروقه پشتیبانی Remote خود پرداز به آنها نفوذ کنند.
محققین بررسی و به روز رسانی منظم خود پردازها را توسط آنتی ویروس ها، استفاده از تکنولوژیهای whitelist و blacklist برنامه ها، رمز گذاری اطلاعات، رمز گذاری روی BIOS خود پرداز، بوت شدن تنها و تنها از هارد دیسک خوپرداز و جدا سازی خود پرداز از شبکه بانک را جهت جلوگیری از این حملات توصیه می کنند.