INJX_Pure

Por GoldSparrow em Malware

O INJX_Pure é um representante bastante exclusivo do subconjunto de malware que visa ATMs e é usado para ataques de jackpotting (hacks que forçam os ATMs a começar a distribuir dinheiro). Enquanto a maioria das ameaças desse tipo são criadas para atingir o maior número possível de máquinas pertencentes ao maior número possível de bancos localizados no maior número possível de países ao redor do mundo, INJX_Pure adota a abordagem oposta. Ao analisar seu código subjacente, os pesquisadores descobriram que INJX_Pure foi projetado para atacar um pequeno subconjunto de caixas eletrônicos que pertenciam a um banco específico. As primeiras amostras dessa ameaça foram enviadas do México e, posteriormente, da Colômbia.

Para realizar o ataque, INJX_Pure manipula a interface XSF (eXtensions for Financial Services), que é usada para suportar as funções básicas do ATM. Além disso, no entanto, INJX_Pure também explorou o software proprietário do banco. Os pesquisadores acreditam fortemente que os hackers conseguiram violar os protocolos de segurança do banco e se infiltrar na rede à qual os caixas eletrônicos se conectam porque INJX_Pure não pode ser controlado pelo teclado ou tela sensível ao toque do caixa eletrônico e, em vez disso, recebe comandos de uma interface da Web do servidor HTTP autocriada.

Depois de se injetar no dispositivo visado, o malware gera uma mensagem em russo, português, espanhol e chinês, que pode ser traduzida como "Liberdade e glória". Outra linha em russo que diz "separado" também está presente, mas os pesquisadores acreditam que essa é uma pista falsa para apontar para hackers russos porque não é uma forma nativa de se usar essa palavra específica.

A próxima etapa nas operações de INJX_Pure é iniciar um servidor HTTP que aceita apenas comandos na forma de URLs predefinidos. Dependendo do comando recebido, o malware pode forçar o caixa eletrônico a começar a distribuir dinheiro, carregar um arquivo .jar especificado, permitir o acesso a uma lista de todas as classes em execução para a máquina virtual Java anexada e executar o código do usuário no dispositivo visado.

Tendendo

Mais visto

Carregando...