image

Nieuw ontdekte malware trekt geldautomaten leeg

maandag 21 april 2014, 10:37 door Redactie, 9 reacties

Onderzoekers van het Spaanse beveiligingsbedrijf S21sec hebben nieuwe malware ontdekt die gebruikt is om geldautomaten te infecteren en zo vervolgens leeg te halen. De malware genaamd NeoPocket verschilt van de Ploutus-malware die eind vorig en begin dit jaar uitgebreid in het nieuws kwam.

NeoPocket blijkt een ander type geldautomaat te infecteren dan Ploutus en heeft geen enkele overeenkomsten in de code. Daarnaast is de nieuwe geldautomatenmalware in een geheel andere ontwikkelomgeving ontwikkeld dan Ploutus. Volgens de onderzoekers wordt NeoPocket zeer waarschijnlijk geïnstalleerd vanaf een USB-stick of schijf die op de geldautomaat wordt aangesloten. Dat houdt in dat de aanvallers fysieke toegang tot de automaat moeten hebben.

Eenmaal geïnstalleerd maakt NeoPocket verschillende bestanden aan en wijzigt het register, zodat het een reboot van het systeem kan overleven. Ook het configuratiebestand van de geldautomaat wordt aangepast. Via de malware kunnen de aanvallers vervolgens een commando geven om de geldautomaat leeg te halen. Iets wat bij verschillende geldautomaten zou zijn gebeurd.

In welk land of landen deze geldautomaten zich bevonden laten de onderzoekers niet weten. Ze adviseren banken en andere partijen die geldautomaten gebruiken om die fysiek te beveiligen. Niet alleen de geldcassette, maar ook de computer zou geïsoleerd moeten zijn. Daarnaast wordt er aangeraden om een BIOS-wachtwoord in te stellen en in het geval de geldautomaat Windows XP draait die naar een nieuwer besturingssysteem te upgraden.

Reacties (9)
21-04-2014, 13:21 door [Account Verwijderd] - Bijgewerkt: 21-04-2014, 13:21
[Verwijderd]
21-04-2014, 13:52 door Anoniem
Peter V. inplaats van dat je iedere keer dit soort commentaar plaats, is het misschien een idee om nuttige reacties te plaatsen met bijv. tips, of oplossingen.
21-04-2014, 15:06 door vimes
Maakt niet uit welk OS. Met fysieke toegang tot de machine en een paar om op te oefenen. Koud kunstje.
21-04-2014, 15:44 door Skizmo
Door vimes: Maakt niet uit welk OS. Met fysieke toegang tot de machine en een paar om op te oefenen. Koud kunstje.
Daarom moet ook het fysieke deel van de machine goed beveiligd worden. Bv, wat heeft een ATM aan een usb connectie ? Uitzetten die handel.
21-04-2014, 16:50 door vimes
Door Skizmo:
Door vimes: Maakt niet uit welk OS. Met fysieke toegang tot de machine en een paar om op te oefenen. Koud kunstje.
Daarom moet ook het fysieke deel van de machine goed beveiligd worden. Bv, wat heeft een ATM aan een usb connectie ? Uitzetten die handel.
Als er geen usb poort is dan vervang je toch gewoon de harde schijf, of je steekt de connector van de gelddispenser in een vooraf geprepareerde arduino of whatever. Als je er fysiek bij kan dan kan je in principe alles doen wat je wilt.
21-04-2014, 19:38 door Anoniem
Ik vind het nogal omslachtig en denk niet dat het een grote trend wordt t.o.v. de shovels en gasmengsels die in Nederland al regelmatig gebruikt worden.
21-04-2014, 19:42 door Anoniem
Door Peter V.:
en wijzigt het register,
1 keer raden welk OS het hier betreft...
+
Dat houdt in dat de aanvallers fysieke toegang tot de automaat moeten hebben.
=
OS is niet boeiend, behalve dat de makers zich gericht zullen hebben op het meest voorkomende OS, te weten XP embedded. Ik heb trouwens nog nooit van PIN-automaten gehoord die op UNIX draaien?
22-04-2014, 14:09 door Eric-Jan H te D - Bijgewerkt: 22-04-2014, 14:09
Ok ik heb fysieke toegang tot de pinautomaat. Wat moet ik nu doen dan?

Oh een USB-stick plaatsen
Ik ga toch maar voor het deurtje waar het geld achter zit.

Wat zeg je: kan niet?; deurtje is te dik?

Waarom zit die verdomde USB-aansluiting daar dan ook niet achter?
22-04-2014, 15:11 door Anoniem
Door Anoniem: OS is niet boeiend, behalve dat de makers zich gericht zullen hebben op het meest voorkomende OS, te weten XP embedded. Ik heb trouwens nog nooit van PIN-automaten gehoord die op UNIX draaien?

Toch zijn (of althans waren) die er. Ik kan me herinneren, dat ik een keer op zo'n scherm de bootmeldingen van linux/unix voorbij heb zien komen. Dat was niet moeilijk, want om de een of andere reden zat dat ding in een reboot loop
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.