- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

ATMitch-Fall vervollständigt das Bild


Cyberbanküberfall 4.0: Erst dateiloser Bankeinbruch, dann spurlose Plünderung von Geldautomaten
Kaspersky Lab hat den mysteriösen ATMitch-Fall rekonstruiert

- Anzeigen -





Als Bankangestellte einen ausgeraubten Geldautomaten vorfanden, ohne erkennbare Spuren physischer Gewaltanwendung oder Malware, standen sie vor einem Rätsel. Die Experten von Kaspersky Lab konnten jetzt in einer zeitaufwendigen Untersuchung die Vorgehensweise der Cyberkriminellen aufdecken: nach einem "fileless" Einbruch ins Banknetzwerk lassen sich mit der Malware ATMitch Geldautomaten in sekundenschnelle und ohne wirklich nachzuverfolgende Spuren ausrauben.

Kaspersky Lab veröffentlichte im Februar 2017 einen Bericht über mysteriöse Attacken gegen Banken, die "fileless" beziehungsweise dateilos durchgeführt wurden. Dabei griffen Cyberkriminelle Netzwerke von Banken mit im Speicher versteckter Malware an. Es stellte sich damals die Frage nach dem wahren Grund der Attacken. Der ATMitch-Fall vervollständigt nun das Bild.

Da die Cyberkriminellen nach dem Angriff alle ausführbaren Malware-Dateien gelöscht hatten, konnten die Forensiker der Bank den Experten von Kaspersky Lab für deren Analyse nur noch zwei verbliebene Dateien übergeben, die Malware-Log-Daten von der Festplatte des Geldautomaten enthielten (kl.txt und logfile.txt).

In den Log-Dateien fanden sich kurze Klartext-Passagen, mit deren Hilfe eine YARA-Regel konstruiert werden konnte, um in öffentlichen Malware-Quellen nach passenden Samples suchen zu können. Nach einem Tag gelang es den Experten von Kaspersky Lab, das Malware-Sample zu identifizieren. Es handelte sich um "tv.dll" beziehungsweise "ATMitch" – ein Programm, das bereits zweimal – in Russland und Kasachstan – auftauchte.

Spurloses Plündern von Geldautomaten
Die ATMitch-Malware wird aus der Ferne über die bankinterne Fernwartung auf den Geldautomaten der Bank gespielt und dort ausgeführt. Sobald ATMitch installiert ist und in Verbindung mit einem Geldautomaten steht, kommuniziert die Malware mit diesem wie eine legitime Software. Angreifer können so bestimmte Befehle ausführen, und beispielsweise Informationen über die Anzahl der im Automaten enthaltenen Geldscheine sammeln. Zudem können die Cyberkriminellen per Klick den Befehl zur Ausgabe eines beliebigen Geldbetrags geben, die Scheine entnehmen und umgehend verschwinden: Ein Geldautomatenraub innerhalb von Sekunden. Die Malware-Spuren im Geldautomaten werden im Anschluss gelöscht.

Wer hinter den Angriffen steckt, bleibt offen
Bisher ist noch offen, wer hinter den Angriffen steckt. Der Einsatz von Open-Source-basiertem Exploit-Code, herkömmlichen Windows-Tools und unbekannten Domains macht es fast unmöglich, die verantwortlichen Hintermänner zu bestimmen. Jedoch lässt das im Geldautomaten verwendete "tv.dll" auf russischsprachige Gruppen schließen. Außerdem verfolgten die Gruppen GCMAN und Carbanak bereits ähnliche Ansätze.

"Die Angreifer sind vielleicht noch immer aktiv, aber keine Panik. Anvisierte Organisationen können dieser Angriffsmethode mit der Expertise von Sicherheitsexperten entgegentreten", Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. "Das Eindringen in das Netzwerk und das Herausfiltern von Daten gelingt nur mit den dort eingesetzten und legitimen Tools. Nach dem Angriff löschen die Kriminellen alle Spuren, so dass sie nicht mehr identifiziert werden können. Für die Analyse dieser Art von Malware und ihrer Funktionen ist Speicherforensik unerlässlich. Doch wie der von uns beschriebene Fall zeigt, kann mit einer sorgfältigen Vorfallreaktion (Incident Response) auch das perfekte Cyberverbrechen aufgedeckt werden."
(Kaspersky Lab: ra)

eingetragen: 14.05.17
Home & Newsletterlauf: 09.06.17


Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Point-of-Sale-Malware "LockPOS"

    Die "LockPOS" genannte Point-of-Sale-Malware wurde erstmals 2017 beobachtet. Es handelt sich um einen Infostealer, der Daten von Zahlungskarten wie Kreditkarten aus dem Speicher der betroffenen Point-of-Sale-Systeme abzieht. Sicherheitsanalyst Henok Asfaw, Senior Threat Researcher beim Spezialisten für KI-basierende Malware-Abwehr bei Cylance, hat sich die jüngste Variante von LockPOS in seinem aktuellen Blog genauer angesehen. LockPOS hat - wie dokumentiert - die Injection-Technik so verändert, dass sie die Malware nun direkt im Kernel, also dem Betriebssystemkern, platziert. Das macht es bedeutend schwieriger die Schadsoftware aufzudecken und dient in erster Linie dazu traditionell arbeitende Antivirenlösungen zu umgehen.

  • Krypto-Mining mithilfe von Exploit-Kits

    Krypto-Währungen wie Bitcoin, Monero und Co. sind inzwischen nicht nur Digital-Virtuosen ein Begriff, sondern auch der breiteren Masse bekannt - es ist daher keine Überraschung, dass auch Cyber-Kriminelle von der wachsenden Popularität der Krypto-Währungen profitieren möchten. Sicherheitsforscher von Malwarebytes haben nun einen Anstieg von Exploit-Kits in Verbindung mit Crypto-Mining registriert: Infizierte PCs schürfen dabei im Hintergrund und ohne Wissen des Opfers Krypto-Währungen für den Initiator der Malware. Verbreitet wird die Schadsoftware dabei immer häufiger über Exploit-Kits - so auch bei den sich häufenden Drive-By-Download-Attacken der aktuellen Ngay-Kampagne.

  • Backdoor Mosquito übermittelt geheime Infos

    Die Spionage-Gruppe "Turla" übt derzeit gezielte Angriffe auf hochrangige Diplomaten und politische Organisationen in Osteuropa aus. Der in der Vergangenheit erfolgreiche Modus Operandi mit infizierten Flash Player Installern besitzt einen gefährlichen neuen Zusatz: Die Installationsdateien gaukeln Vertrauenswürdigkeit vor, indem sie scheinbar von der offiziellen Webseite des Softwareabieters Adobe heruntergeladen werden. So führen sie auch sicherheitsbewusste Landesvertreter hinters Licht.

  • Werbeanzeigen lösen Wi-Fi-Verbindungen aus

    Die Sicherheitsforscher von Check Point Software Technologies haben die neue Adware "LightsOut" in Google Play entdeckt. Die Malware wurde in 22 unterschiedlichen Flashlight- und Dienstprogramm-Anwendungen im offiziellen App-Store von Google gefunden. Dabei geht man von einer erreichten Verbreitung von 1,5 Millionen bis 7,5 Millionen Downloads aus. Ziel von LightsOut war die Generierung illegaler Werbeeinnahmen auf Kosten seiner ahnungslosen Opfer.

  • Zielrichtung E-Mail und Social Media

    Der Banking-Trojaner Terdot, der ursprünglich auf Online-Banking und Zahlungsvorgänge abzielte, feiert gerade Comeback als Instrument zum Diebstahl von Daten und Anmeldeinformationen. Ein aktuell veröffentlichtes Whitepaper von Bitdefender zeichnet detailliert nach, wie der Trojaner entstanden ist, wie er sich ausbreitet und tarnt, was er an Fähigkeiten heute besitzt und wie er sich noch entwickeln könnte. Leser erhalten mit der detaillierten technischen Analyse ein Musterbeispiel, wie Cyberkriminelle heute ihre Attacken individualisieren und perfektionieren. Seine Fähigkeiten gehen über den Primärzweck eines Banking-Trojaners weit hinaus: Terdot kann unter anderem durch einen leistungsstarken Man-in-the-Middle-Proxy sensible Daten aus dem gesamten Internetverkehr eines Users filtern und weiterleiten. Zudem ist es ihm möglich, Browser-Informationen wie Login-Daten und Kreditkarteninformationen zu stehlen und HTML-Code in besuchte Webseiten zu injizieren.