Onderzoekers hebben een nieuw malware-exemplaar ontdekt dat criminelen, na het intoetsen van de juiste pincode, de geldautomaat laat legen. De afgelopen jaren zijn er verschillende malware-exemplaren gevonden waarmee geld uit geldautomaten kan worden gestolen. De nu ontdekte GreenDispenser-malware is echter ontwikkeld om na de diefstal geen enkel spoor achter te laten.

De malware beschikt namelijk over een effectief verwijderproces, zo stelt digitaal beveiligingsbedrijf Proofpoint. Om GreenDispenser te installeren is waarschijnlijk fysieke toegang tot de geldautomaat vereist, waarbij Proofpoint niet uitsluit dat medewerkers die voor de beveiliging of beheer van de automaat verantwoordelijk zijn ook bij de infecties een rol spelen. Eenmaal actief werkt GreenDispenser net als andere geldautomatenmalware, maar het kent ook verschillende aparte features.

Zo werkt de malware alleen als het jaar 2015 is en de maand eerder dan september. Daarnaast wordt er een soort van twee-factor authenticatie toegepast. Er zijn namelijk twee pincodes vereist om de malware te benaderen. Een vaste pincode en een dynamische pincode. De tweede pincode wordt verkregen door een QR-code op het scherm van de besmette geldautomaat te scannen. Alleen geautoriseerde personen kunnen op deze manier de automaat legen. Ook kan de malware een "buitenwerking" melding geven.

Een andere feature die opvalt is de manier waarop de malware na de diefstal zich verwijdert. Hiervoor gebruikt het SDelete, een programma van Microsoft om data permanent te verwijderen. GreenDispenser is vooralsnog alleen in Mexico waargenomen, maar dat kan volgens Thoufique Haq van Proofpoint veranderen. "Hoewel de huidige aanvallen alleen tot bepaalde geografische gebieden zoals Mexico zijn beperkt, is het slechts een kwestie van tijd voordat deze technieken wereldwijd worden gebruikt."