- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

ATMitch-Fall vervollständigt das Bild


Cyberbanküberfall 4.0: Erst dateiloser Bankeinbruch, dann spurlose Plünderung von Geldautomaten
Kaspersky Lab hat den mysteriösen ATMitch-Fall rekonstruiert

- Anzeigen -





Als Bankangestellte einen ausgeraubten Geldautomaten vorfanden, ohne erkennbare Spuren physischer Gewaltanwendung oder Malware, standen sie vor einem Rätsel. Die Experten von Kaspersky Lab konnten jetzt in einer zeitaufwendigen Untersuchung die Vorgehensweise der Cyberkriminellen aufdecken: nach einem "fileless" Einbruch ins Banknetzwerk lassen sich mit der Malware ATMitch Geldautomaten in sekundenschnelle und ohne wirklich nachzuverfolgende Spuren ausrauben.

Kaspersky Lab veröffentlichte im Februar 2017 einen Bericht über mysteriöse Attacken gegen Banken, die "fileless" beziehungsweise dateilos durchgeführt wurden. Dabei griffen Cyberkriminelle Netzwerke von Banken mit im Speicher versteckter Malware an. Es stellte sich damals die Frage nach dem wahren Grund der Attacken. Der ATMitch-Fall vervollständigt nun das Bild.

Da die Cyberkriminellen nach dem Angriff alle ausführbaren Malware-Dateien gelöscht hatten, konnten die Forensiker der Bank den Experten von Kaspersky Lab für deren Analyse nur noch zwei verbliebene Dateien übergeben, die Malware-Log-Daten von der Festplatte des Geldautomaten enthielten (kl.txt und logfile.txt).

In den Log-Dateien fanden sich kurze Klartext-Passagen, mit deren Hilfe eine YARA-Regel konstruiert werden konnte, um in öffentlichen Malware-Quellen nach passenden Samples suchen zu können. Nach einem Tag gelang es den Experten von Kaspersky Lab, das Malware-Sample zu identifizieren. Es handelte sich um "tv.dll" beziehungsweise "ATMitch" – ein Programm, das bereits zweimal – in Russland und Kasachstan – auftauchte.

Spurloses Plündern von Geldautomaten
Die ATMitch-Malware wird aus der Ferne über die bankinterne Fernwartung auf den Geldautomaten der Bank gespielt und dort ausgeführt. Sobald ATMitch installiert ist und in Verbindung mit einem Geldautomaten steht, kommuniziert die Malware mit diesem wie eine legitime Software. Angreifer können so bestimmte Befehle ausführen, und beispielsweise Informationen über die Anzahl der im Automaten enthaltenen Geldscheine sammeln. Zudem können die Cyberkriminellen per Klick den Befehl zur Ausgabe eines beliebigen Geldbetrags geben, die Scheine entnehmen und umgehend verschwinden: Ein Geldautomatenraub innerhalb von Sekunden. Die Malware-Spuren im Geldautomaten werden im Anschluss gelöscht.

Wer hinter den Angriffen steckt, bleibt offen
Bisher ist noch offen, wer hinter den Angriffen steckt. Der Einsatz von Open-Source-basiertem Exploit-Code, herkömmlichen Windows-Tools und unbekannten Domains macht es fast unmöglich, die verantwortlichen Hintermänner zu bestimmen. Jedoch lässt das im Geldautomaten verwendete "tv.dll" auf russischsprachige Gruppen schließen. Außerdem verfolgten die Gruppen GCMAN und Carbanak bereits ähnliche Ansätze.

"Die Angreifer sind vielleicht noch immer aktiv, aber keine Panik. Anvisierte Organisationen können dieser Angriffsmethode mit der Expertise von Sicherheitsexperten entgegentreten", Sergey Golovanov, Principal Security Researcher bei Kaspersky Lab. "Das Eindringen in das Netzwerk und das Herausfiltern von Daten gelingt nur mit den dort eingesetzten und legitimen Tools. Nach dem Angriff löschen die Kriminellen alle Spuren, so dass sie nicht mehr identifiziert werden können. Für die Analyse dieser Art von Malware und ihrer Funktionen ist Speicherforensik unerlässlich. Doch wie der von uns beschriebene Fall zeigt, kann mit einer sorgfältigen Vorfallreaktion (Incident Response) auch das perfekte Cyberverbrechen aufgedeckt werden."
(Kaspersky Lab: ra)

eingetragen: 14.05.17
Home & Newsletterlauf: 09.06.17


Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Als Flash-Player-App getarnt

    Die Experten von Kaspersky Lab haben eine neue Variante des mobilen Banking-Trojaners Svpeng entdeckt. Mittels Keylogger-Funktion greift der modifizierte Trojaner eingegebenen Text wie Banking-Zugangsdaten ab, indem die Zugangsdienste von Android missbraucht werden. Dadurch erlangt der Trojaner weitere Rechte und kann so die eigene Deinstallation verhindern. Selbst Geräte mit aktuellster Software schützen nicht vor dem Schädling. Zugangsdienste (Accessibility Services) sind Erweiterungen der Benutzeroberfläche, um Nutzer, die nicht mit dem Gerät interagieren können, zu unterstützen. Die im Juli 2017 von Kaspersky Lab entdeckte modifizierte Version von Svpeng ist in der Lage, diese Systemfunktion zu missbrauchen, um in andere Apps eingegebenen Text abzugreifen und sich selbst weitere Rechte zu verschaffen.

  • Geschäftsmodell Ransomware-as-a-Service

    Auf der Black Hat 2017 in Las Vegas hat Sophos gestern einen Report zum Thema "Ransomware-as-a-Service (RaaS): eine Analyse von Philadelphia" veröffentlicht. Autorin ist Dorka Palotay, eine Entwicklern zur Gefahrenanalyse in den SophosLabs in Budapest, Ungarn. Der Report beschäftigt sich eingehend mit den inneren Mechanismen eines Ransomware-Bausystems, das jeder für 400 US-Dollar kaufen kann. Einmal erworben, können die Kriminellen Computer kidnappen und Daten gegen Lösegeld zurückhalten.

  • Infektion über Filesharing-Seiten

    Mehr als eine halbe Million Nutzer sind von einer Malware-Kampagne betroffen, die infizierte Systeme zu einem Botnet hinzufügt. Die Malware ist komplex und extrem anpassungsfähig. So schaffte es "Stantinko", über fünf Jahre lang unentdeckt zu agieren und ein Botnet von mehr als 500.000 infizierten Systemen zu bilden. Das ist das Ergebnis einer umfassenden Untersuchung der europäischen Security-Software-Herstellerin Eset. Die meisten Betroffenen entdeckte Eset in Russland und in der Ukraine. Stantinko infiziert Systeme über Filesharing-Webseiten und lockt Nutzer mit kostenloser Software. Die Entwickler haben die Malware clever getarnt: Der Infektionsvektor installiert eine Reihe auffälliger Anwendungen, gleichzeitig wird das Schadprogramm unauffällig im Hintergrund installiert. Stantinko ist so komplex aufgebaut, dass die Malware nur schwer entdeckt werden kann.

  • Unfertige Spyware Rurktar aufgetaucht

    In den G Data Security Labs ist eine Spyware aufgetaucht, die ihren Ursprung scheinbar in Russland hat. Das lässt sich durch die internen Fehlermeldungen der Software zurückverfolgen. Ob hinter der Programmierung der Schadsoftware ganze Entwicklerteams oder eine einzelne Person stecken, ist indes noch unklar.

  • Mac-Version der Windows-Malware WERDLOD

    Forscher von Trend Micro haben die vor kurzem entdeckte Malware OSX_DOK eingehend analysiert. Dabei zeigte sich, dass der Trojaner ausschließlich Daten von Schweizer Nutzern abfängt, die er an ihrer IP-Adresse erkennt. OSX_DOK stellt die Mac-Version der Windows-Malware WERDLOD dar, die bereits 2014 in dem als "Operation Emmental" bekannten Angriff auf Schweizer Bankkunden verwendet wurde.