Для заражения банкомата необходим физический доступ к его портам.
В ноябре текущего года эксперты Европола и Trend Micro обнаружили новое семейство вредоносного ПО, позволяющее злоумышленникам с физическим доступом к портам банкомата заставить устройство выдавать наличные. По словам исследователей, Alice используется по крайней мере с 2014 года.
Получив физический доступ к портам USB или CD-ROM, преступники загружали на систему банкомата вредонос, а затем подключали клавиатуру, с помощью которой взаимодействовали с ПО. Для запуска Alice злоумышленники должны были вводить PIN-код. Данная мера призвана защитить вредонос от дельнейшего исследования на случай, если он будет обнаружен сотрудниками банка.
PIN-код также играл роль идентификационного номера, присвоенного каждому «денежному мулу» и позволяющего киберпреступникам отслеживать, кто, когда и где снял деньги с банкомата. «Денежные мулы» представляют собой низшее звено преступной группировки, занятое исключительно снятием и перемещением похищенных денежных средств.
После введения PIN-кода начиналось выполнение вредоносного кода. В отличие от других подобных программ Alice состоит лишь из одного компонента, соединяющего процессы вредоноса с диспенсером банкнот.
В Alice реализована поддержка протокола RDP, однако злоумышленники никогда им не пользовались. Дело в том, что для использования RDP им нужно было либо заранее знать пароль RDP для каждого банкомата, либо угадать его с помощью брутфорс-атаки.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале