カスペルスキーのセキュリティ研究者は、ATMii マルウェアに関するレポートを発表しました。これは2017年4月に初めて登場しました。 Bleeping Computer の報告によると、攻撃者はこれを利用して、感染した ATM から現金を引き出すことができます。
珍しいのは、このマルウェアがオペレーティング システムとして Windows 7 または Windows Vista を使用する ATM でのみ動作することです。現在、ATM の大部分は Windows XP の縮小版を使用しています。したがって、ハッカーは非常に特定のデバイスのみをターゲットにし、そのデバイス専用にマルウェアをプログラムしたのではないかと考えられます。
マルウェアの注入にはデバイスへの物理的なアクセスが必要です
これは、攻撃者が特定の ATM ネットワークにしかアクセスできないことが原因である可能性があります。マルウェアをインストールするには、ハッカーは ATM ネットワークまたはデバイスの USB サービス ポートにアクセスできる必要があります。カスペルスキーによれば、これも非常に単純なマルウェアであり、これは攻撃者が少数の ATM に対してのみプログラムしたことを示しています。
たった 3 つのコマンドでお金を稼ぐ
このマルウェアは、exe.exe と dll.dll の 2 つのファイルのみで構成されており、ATM のメモリにコピーする必要があります。実行可能ファイルが実行され、デバイスが感染し、必要な ini ファイルが自動的に作成されると、攻撃者は 3 つのコマンドを自由に使用できるようになります。 「情報」には金庫の中身が表示されます。この情報は、「Disp」コマンドを使用して、ATM がどの通貨をどれだけ発行するかを入力するために必要です。盗難が完了すると、「die」コマンドを使用して ini ファイルが削除されますが、これはおそらく足跡を隠蔽する試みであると考えられます。
Kaspersky によれば、このマルウェアは、わずかなプログラミング作業で ATM を空にすることができることを改めて示しています。通常どおり、ATM への物理的なアクセスを制限し、USB ポートなどのポートをソフトウェアで非アクティブ化することをお勧めします。