محققان کسپرسکی بر این باورند که بدافزار اسکیمر «Skimer»، به عنوان یکی از مخربترین بدافزارهای سامانه خودپرداز بانکی به شمار میرود و در چند ماه اخیر، فعالیت خود را پس از هفت سال مجددا آغاز کرده است. این بدافزار از سال 2009 تا امروز به صورت منقطع، فعالیت داشته است .
این بدافزار، دستگاههایی که از سیستم عامل ویندوز استفاده میکنند را مورد تهاجم قرار میدهد. بر اساس تحقیقات انجامشده، بدافزار روی دستگاههایی که از فرمتهای FAT32 و NTFS استفاده میکنند نصبشده و فعالیت خود را به انجام میرساند.
فعالیت بدافزار با استفاده از کارتهای اعتباری و کدهای ویژه
محققان بر این باورند که اگر در تنظیمات دستگاه خودپرداز، از فرمت FAT32 استفاده شود فایل بدافزار در C:WindowsSystem32 ذخیره میشود، اما اگر در تنظیمات دستگاه از فرمت NTFS استفاده شود بدافزار اطلاعات خود را روی فایلهای ATM XFS خودپرداز ذخیره و سپس فعالیت مخرب خود را شروع میکند.
بدافزار پس از قرار دادن فایلهای مخرب خود، با استفاده از فایلهای XFS توانایی خواندن اطلاعات سیستم خودپرداز را دارد. محققان بر این باورند که فایلهای مخرب، توانایی قرار گرفتن روی فایلهای netmgr.dll و اجرای کدهای مورد نظرخود را دارند. مهاجم برای تعامل با بدافزار، نیاز به یک کارت ویژه دارد که دارای یک سری اسکریپت مغناطیسی رمزگذاری برای ارتباط با بدافزار است. این کارت به مهاجم اجازه میدهد که از طریق ارسال کدهای PIN pad، نحوه فعالیت بدافزار را تغییر دهد.
کدهای فرمان، پس از فراخوانی توسط دستگاه شروع به توزیع پول به مردم میکند. در این میان مهاجمان توانایی قرار دادن کدهای مغناطیسی خود را در کارت کاربر دارند. نحوه قرار دادن این کدها به این صورت است که قبل از ورود کارت به دستگاه این کدها روی کارت قرار داده میشوند. بر اساس نظر کارشناسان امنیتی شرکت کسپرسکی، بانکها ممکن است توانایی شناسایی شمارههای آلوده را در سیستمهای پردازش خود داشته باشند و یا اینکه دستگاههای آلوده را در شبکه بانکی خود شناسایی کنند. محققان کسپرسکی به بانکها توصیه میکنند که اقداماتی مانند استفاده از آنتیویروس قوی، حفاظت از خودپرداز همراه با رمز عبور و جداسازی خودپردازها از شبکه داخلی بانک را انجام دهند.
منبع:تابناک
No tags for this post.