Criminelen halen pinautomaten leeg met nieuwe malware
Cybercriminelen blijken met behulp van malware pinautomaten in zijn geheel te kunnen leegroven. De malware maakt het mogelijk door een pincode in te voeren de automaat het aanwezige geld uit te laten geven.
Het gaat om de GreenDispenser malware, die ontdekt is door het beveiligingsbedrijf Proofpoint. De malware kan vermoedelijk alleen worden geïnstalleerd door aanvallers die fysieke toegang weten te verkrijgen tot pinautomaten. Proofpoint vermoedt dan ook dat bankmedewerkers die verantwoordelijk zijn voor het beheer van de automaten betrokken zijn bij aanvallen met de malware.
Tijdelijk buiten gebruik
Indien een pinautomaat met de GreenDispenser malware wordt besmet kan deze een ‘tijdelijk buiten gebruik’ melding laten zien, waardoor ‘normale’ gebruikers de machine niet kunnen gebruiken. Zodra de juiste pincode wordt ingevoerd werkt het apparaat echter wel degelijk en kunnen aanvallers geld uit de automaat halen.
De malware zou veel lijken op malware voor pinautomaten die eerder al werd ontdekt. In functionaliteiten zou de malware veel overeenkomsten vertonen met de malware Padpin. GreenDispenser bevat echter een aantal unieke functionaliteiten. Zo bleek de malware die door Proofpoint was onderzocht zichzelf automatisch uit te schakelen in september 2015. Waarschijnlijk is deze feature ontworpen om de kans op detectie van de malware te verkleinen.
Twee-staps-authentificatie
Daarnaast wordt twee-staps-authentificatie gebruikt. Naast een hardcoded pincode moet ook een dynamische pincode worden ingevoerd. Deze dynamische pincode is uniek voor iedere installatie van de malware en zorgt dus dat alleen de aanvallers die de malware hebben geïnstalleerd deze kunnen gebruiken. Deze pincode wordt verstrekt via een QR-code die op het scherm van de pinautomaat wordt vertoond zodra deze met malware wordt geïnfecteerd. Proofpoint vermoedt dat de aanvallers een speciale mobiele app hebben ontwikkeld om de dynamische pincode uit deze QR-code te kunnen bemachtigen.
Tot slot bevat GreenDispenser ook een feature waarmee de malware zijn sporen nauwkeurig uitwist. Hiervoor wordt SDelete van Microsoft gebruikt, dat is ontwikkeld om data permanent te verwijderen. De malware wordt op dit moment in een beperkt aantal geografische gebieden ingezet, waaronder Mexico. Proofpoint waarschuwt dat het echter een kwestie van tijd is voordat de malware ook op andere locaties opduikt.
Meer over
Lees ook
Hoeveelheid malafide Android-apps bijna verviervoudigd in twee jaar tijd
De hoeveelheid malafide apps in Google's Play Store neemt in een hoog tempo toe. Het aantal malafide apps voor het Android-platform in Google's eigen appwinkel is tussen 2011 en 2013 met maar liefst 388 procent gestegen. Dit blijkt uit onderzoek van Risk IQ. Risk IQ is een bedrijf dat de inhoud van appwinkels in de gaten houdt om namaakvarianten v1
Klanten van Rabobank en ING zijn doelwit van nieuwe bankingtrojan
Klanten van de Rabobank en ING zijn doelwit van een nieuwe versie van de bankingtrojan Zeus. De trojan wordt verspreidt in JPG-afbeeldingen die overal op internet zijn geüpload. Hiervoor waarschuwt Jerome Segura van Malwarebytes, die samen met de Franse onderzoeker Xylitol de nieuwe malware heeft onderzocht. De onderzoekers hebben ontdekt dat alle1
Hackers verstoppen malware in RTF-documenten
Hackers verstoppen steeds vaker hun malware in RTF-documenten. Hiervoor waarschuwt in ieder geval beveiligingsbedrijf Trend Micro. De RTF-documenten worden voorzien van een embedded Control Panel (CPL)-bestand, die de malware naar de computer van het slachtoffer download. CPL-bestanden zijn bedoeld om informatie over de configuratie van het systee1