ATMitch

O malware ATMitch é uma ameaça de malware projetada para infectar caixas eletrônicos ou caixas eletrônicos. Os criminosos podem usar o ATMitch para coletar dinheiro e informações de caixas eletrônicos. O uso de ameaças como o ATMitch diminuiu gradualmente devido ao aumento das medidas de segurança dos bancos para proteger seus caixas eletrônicos. No entanto, os criminosos ainda são capazes de se infiltrar nos caixas eletrônicos e realizar ataques efetivos. Pesquisadores de segurança do PC receberam informações sobre o ATMitch quando ele foi usado para realizar ataques em 2017 contra caixas eletrônicos pertencentes a um banco russo. Os criminosos contavam com a implantação do ATMitch manualmente, usando uma RDP (Conexão com a Área de Trabalho Remota) comprometida em um computador conectado à mesma rede que os caixas eletrônicos pertencentes a esse banco para realizar o ataque do ATMitch. Ainda não está claro como os criminosos conseguiram acessar o dispositivo comprometido.

Como Funciona o Ataque do ATMitch

A API XSF, ou Extension for Financial Services API, é usada em um grande número de caixas eletrônicos em todo o mundo. Este é um kit de ferramentas que é usado para enviar comandos usando o teclado numérico e o terminal. O ATMitch é projetado para alterar as configurações da API do XFS para que eles sigam os comandos dos criminosos. Os criminosos podem usar o ATMitch para levar todo o dinheiro em um caixa eletrônico usando o ATMitch para corromper as configurações do caixa eletrônico.

Como o ATMitch Realiza os Seus ataques

A primeira etapa do ataque do ATMitch envolve o acesso aos servidores do banco ao qual os caixas eletrônicos pertencem. O executável do ATMitch é enviado para esses servidores e, uma vez instalado, é iniciado e usado como parte do ataque. Os criminosos podem controlar o ATMitch usando um servidor de Comando e Controle com um painel de controle onde podem inserir diferentes comandos, recebendo informações do ATMitch sobre o sucesso dos comandos. O ATMitch é conectado a um arquivo de texto chamado 'command.txt' que é armazenado no caminho 'C: \ intel \' no dispositivo infectado. Este arquivo contém os diferentes comandos para o ATMitch. O ATMitch criará um arquivo de log no computador infectado. Isso permite que o ATMitch opere sem um servidor de comando, o que significa que o ATMitch deixará menos rastros, já que não precisará realizar comunicações excessivas na rede afetada.

Entendendo Totalmente os Ataques do ATMitch

As variantes do ATMitch descobertas recentemente foram ligadas a vários roubos de banco de alto perfil. Pesquisadores de segurança do PC conseguiram entender as diferentes etapas do ataque ATMitch analisando essas operações recentes. A seguir estão as etapas que estão comumente envolvidas nessas operações mais sofisticadas de assalto a banco envolvendo o ATMitch:

1. O ATMitch usará o acesso à área de trabalho remota para se conectar ao ATM desejado.
2. O ATMitch irá transferir um arquivo EXE carregador e, em seguida, executá-lo. Eles podem visualizar uma janela que retorna informações sobre o sucesso dessa operação.
3. Os criminosos excluirão o arquivo inicial após a execução bem-sucedida para remover tantos traços do ataque quanto possível.
4. Os atacantes escreverão comandos no arquivo correto.
5. O ATMitch executará esses novos comandos e gravará no arquivo de log.
6. Criminosos podem usar o arquivo de log para saber quais comandos foram executados e o estado do ataque.

É seguro dizer que a presença do ATMitch em um caixa eletrônico ou rede quase certamente aponta para a presença de outras infecções nos dispositivos alvo, considerando as diferentes etapas deste ataque. Por exemplo, isso indica que os criminosos conseguiram se infiltrar em uma rede, obter acesso remoto à área de trabalho e coletar outro dinheiro e dados possivelmente. Os bancos são alvos valiosos para os criminosos, embora o aumento da segurança das instituições financeiras tenha tornado relativamente raros ataques como o ATMitch.