Tremano i bancomat di tutto il mondo. O meglio, tremano le banche che li gestiscono. Non sembra arrestarsi infatti l’ondata di nuovi malware realizzati per colpire proprio gli Atm e per trasformarli in miniere d’oro per gli hacker. Dopo le minacce rilevate negli ultimi mesi (Suceful, Plotus e Padpin) da diverse società di sicurezza, l’ultima in ordine di tempo è stata ribattezzata GreenDispenser. Scoperto da Proofpoint, il nuovo malware permette a un criminale di prelevare tutto il contenuto del bancomat, di cancellare le tracce dell’operato e di allontanarsi indisturbato. Prima, ovviamente, deve però avvenire l’infezione dall’interno. Come sottolineato da Proofpoint, infatti, per diffondersi GreenDispenser deve riuscire a sfruttare almeno una delle seguenti condizioni: una compromissione fisica dei dispositivi o l’intervento di dipendenti con intenzioni fraudolente. Per trasformare il bancomat in una slot machine dalla vincita certa, il malware deve prima essere “installato” tramite i sistemi informatici della banca. Ecco perché risulta molto probabile il coinvolgimento di lavoratori interni.

Una volta preparato il terreno, GreenDispenser interagisce con il middleware Extensions for Financial Services (Xfs), implementato nella maggior parte degli Atm. Si tratta di un’architettura client-server per applicazioni finanziarie nelle piattaforme Microsoft. Il middleware consente al software di interagire con tutte le periferiche che vengono collegate ai bancomat. Vale a dire il tastierino numerico, il distributore di banconote e così via. Il nuovo malware riesce, in sintesi, a individuare l’hardware dell’Atm fornito da diversi produttori tramite gli standard Xfs e a prenderne il controllo.

Il nuovo programma maligno ha però delle caratteristiche differenti rispetto ai suoi predecessori. Come notato dai ricercatori di Proofpoint, che sono riusciti ad analizzare parti di codice del malware, GreenDispenser è stato progettato per eseguirsi soltanto prima del settembre 2015. Questo suggerisce un utilizzo del software limitato nel tempo. Ma non è l’unico cambiamento rispetto ad altri malware utilizzati in passato. La creatura scoperta da Proofpoint, infatti, prevede un doppio livello di autenticazione: il primo rappresentato da un Pin statico, il secondo invece dinamico e capace di cambiare a ogni singola esecuzione.

Il malintenzionato incaricato del “prelievo” riesce a scoprire la seconda chiave sfruttando un codice Qr visualizzato sul display dell’Atm, acquisito molto probabilmente tramite un’applicazione mobile. La procedura di autenticazione doppia assicura che il denaro non possa mai finire nelle mani “sbagliate”. Infine, prima di concludere definitivamente l’operazione, GreenDispenser riesce ad autoeliminarsi dal sistema bancario in modo da rendere molto difficile la propria tracciabilità, complicando così il lavoro degli inquirenti.

 

Fonte: Proofpoint. Il finto messaggio di bancomat "fuori servizio" mostrato da GreenDispenser

 

Attualmente, il software maligno è stato segnalato soltanto in Messico. Ma, come sottolineano i ricercatori di Proofpoint, la sua diffusione mondiale potrebbe essere soltanto questione di tempo. “Stiamo assistendo probabilmente alla nascita di una nuova industria criminale interessata in particolar modo agli Atm”, scrivono gli esperti di Proofpoint in un blogpost. “Gli istituti finanziari dovrebbero rivalutare i sistemi di sicurezza obsoleti e considerare l’implementazione di nuovi livelli di protezione, in modo da neutralizzare minacce come questa”.