Исследователи FireEye обнаружили новый тип ПО, которое заражает банкоматы любых производителей и может осуществлять автоматическую кражу данных банковской карты и, более того, самой карты.
Вредонос получил имя названо Syceful (неправильное написание «успешного» слова). Выборка, которую проанализировали исследователи, получена из VirusTotal, и, скорее всего, авторы зловреда отправили ее туда сами, чтобы понять, будет ли обнаруживаться их ПО различными антивирусами.
Исследователи отметили, что Suceful был загружен на VirusTotal из России и, основываясь на метке времени, вероятно был создан 25 августа 2015 г. Скорее всего, это опытный образец, однако функции, обнаруженные в данном ПО, никогда ранее не были замечены во вредоносном ПО для банкоматов. Suceful может считать все данные с магнитной дорожки и чипа кредитной/дебетовой карты, задержать и извлечь вставленную карту, он может управляться атакующими через клавиатуру ввода PIN банкомата.
Мало того, зловред может отключить дверь банкомата и аварийный сигнал, чтобы препятствовать обнаружению вторжения.
Обнаруженная разновидность Suceful предназначалась для банкоматов от Diebold и NCR, однако авторы планировали сделать данное ПО применимым на различных типах банкоматов, поскольку атаке подвергается менеджер XFS — промежуточное ПО, используемое в банкоматах вне зависимости от марки и модели. Несмотря на то что у каждого производителя банкоматов есть собственная реализация менеджера XFS, все они поддерживают шаблон, соответствующий стандарту WOSA/XFS.
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.