Появился троян для банкоматов

Появился троян для банкоматов

Специалистами по безопасности впервые обнаружена вредоносная программа для банкоматов. Судя по предварительному анализу, троян отслеживает транзакции в долларах США, российских рублях и украинских гривнах и ворует информацию о пластиковых картах, сообщает сотрудник компании Sophos Ваня Швайцер в корпоративном блоге.

Швайцер высказал удивление по этому поводу, так как создание и внедрение вредоносной программы в банкомат связаны с рядом сложностей. Банкоматы часто работают под управлением нестандартных операционных систем, а если даже это и Windows, то специализированная. Кроме того, программный и аппаратный интерфейс банкоматов считается недокументированным, банкоматы обычно соединяются в изолированные частные сети, а физический доступ к ним без специального ключа затруднён из-за множества датчиков.

Поэтому киберпреступники, специализирующиеся на банкоматах, обычно используют всевозможные устройства вроде скиммеров и видеокамер, с помощью которых собирают данные о магнитных полосах пластиковых карт и пин-кодах. После этого злоумышленники производят фальшивые карты, по которым и снимают деньги.

Тем не менее когда к Швайцеру обратился знакомый сотрудник банка, поделившийся слухами о зараженных банкоматах в России, тот начал проверять базу данных Sophos по вредоносному ПО. Он искал любые данные, связанные с компанией Diebold, крупнейшим американским производителем банкоматов, о котором шла речь в данных слухах, и нашёл три недавно поступивших файла.

Автоматизированная система, которая анализирует попавшие в базу файлы, не сумела классифицировать их как вредоносые из-за их особой структуры, нацеленной исключительно на банкоматы. Однако Швайцер, проанализировав их вручную, обнаружил, что это самая настоящая троянская программа, которая способна вести подрывную деятельность в ПО Diebold Agilis, используя ряд недокументированных функций.

Швайцер пока не расшифровал алгоритм трояна до конца. По предварительным данным, программа перехватывает данные со считывателя магнитной полосы и клавиатуры, шифрует собранную информацию и даже предоставляет злоумышленникам альтернативный пользовательский интерфейс.

По мнению Швайцера, разработка такого трояна требует участия программиста с хорошим знанием "внутренностей" банкоматов Diebold. В то же время он не думает, что такого типа атаки на банкоматы найдут широкое применение среди киберпреступников.

По заявлению представителей Diebold, компании известно о существовании вируса. Diebold проинформировала об этом своих клиентов, с целью минимизации риска несанкционированного доступа к банкоматам, им предоставляется специально разработанная компонента ПО и подробная инструкция по безопасности. Diebold также усиленно напоминает своим клиентам о необходимости следовать таким общепринятым в индустрии нормам безопасности, как ограничение физического доступа к банкоматам, управление паролями и обновления ПО. 

Источник 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ИИ может склонировать JS-зловреда 10 тыс. раз и добиться FUD в 88% случаев

Проведенное в Palo Alto Networks исследование показало, что ИИ-модель можно заставить многократно обфусцировать вредоносный код JavaScript и в итоге получить семпл, не детектируемый антивирусами (FUD, fully undetectable).

Речь идет об онлайн-помощниках, авторы которых вводят ограничения во избежание злоупотреблений ИИ-технологиями — в отличие от создателей «злых» аналогов (WormGPT, FraudGPT и т. п.), заточенных под нужды киберкриминала.

Разработанный в Palo Alto алгоритм использует большую языковую модель (БЯМ, LLM) для пошаговой трансформации кода с сохранением его функциональности. При его тестировании на реальных образцах JavaScript-зловредов кастомный классификатор на основе модели глубокого обучения выдал вердикт «безвредный» в 88% случаев.

Опытным путем было установлено, что уровень детектирования снижается по мере увеличения количества итераций (в ходе экспериментов LLM создавала по 10 тыс. вариантов вредоноса). Примечательно, что привносимые изменения выглядели более естественно в сравнении с результатами готовых инструментов вроде obfuscator.io.

Для проведения исследования был также создан набор подсказок для выполнения различных преобразований, таких как переименование переменной, разделение строк, добавление мусора, удаление ненужных пробелов, альтернативная реализация функции.

Финальные варианты обфусцированных JavaScript были ради интереса загружены на VirusTotal. Их не смог распознать ни один антивирус; повторение проверок через четыре дня дало тот же эффект.

 

Результаты исследования помогли экспертам усовершенствовать свой инструмент детектирования JavaScript. Полученные с помощью LLM образцы были добавлены в тренировочный набор данных для модели машинного обучения; их использование позволило повысить результативность классификатора на 10%.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru