새로운 ATM 악성코드 Alice 발견

새로운 ATM 악성코드 Alice 발견

Go ask Alice: New ATM malware detected

ATM으로부터 현금을 인출하는 것에만 집중하는 새로운 악성코드가 발견되었습니다. 해당 악성코드는 Alice 악성코드라고 불리고 있습니다.

Trend Micro는 지난 달 이 악성코드를 처음 발견했습니다. 다른 ATM 악성코드와 달리, '불필요한 기능을 모두 제거한' Alice 악성코드는 공격자가 ATM의 숫자 키패드를 통해 작전을 제어할 수 없으며, 정보 탈취를 시도하지도 않습니다. 해당 악성코드는 ATM 기기가 오로지 현금만을 뱉어내도록 하는 것에만 집중적으로 설계되었습니다.

Trend Micro는 지난 3년 간 현금 탈취를 위해 ATM 기기를 노리는 악성코드 공격이 계속해서 증가 추세를 보이고 있다고 밝혔습니다. 또한 PE 컴파일 시간과 Virustotal의 등록 일자를 확인한 결과, 연구원들은 Alice가 최소 지난 2014년부터 활동해 온 것으로 판단했습니다.

이 코드는 ATM에서의 실행여부를 확인하기 위해 특정 레지스트리 키를 찾아 금융 서비스의 XFS 환경을 위한 적절한 Extension에서 실행되는지 점검합니다. 이후 XFS 환경의 디스펜서 기기의 디폴트 네임인 CurrencyDispenser1 주변장치에 연결합니다. 이 과정에서 다른 ATM 하드웨어와의 연결을 수립하는 어떠한 명령어도 사용하지 않기 때문에, 공격자들이 숫자 키패드를 사용해 어떠한 명령어도 입력할 수 없도록 합니다.

Alice 악성코드는 정확한 핀 코드가 입력될 경우, ATM 기기 내에 현금이 저장된 카세트를 표시하는 화면인 '조작판'을 오픈합니다. 현금 운반책이 해당 조작판에 카세트 번호를 입력하면, WFSExecute API를 통해 CurrencyDispenser1 주변장치에 돈이 인출되도록 하는 명령어를 전달합니다. 이후 공격자의 의도 대로 저장된 현금이 출금됩니다.

연구원들은 Alice 악성코드가 오직 돈을 저장하는 CurrencyDispenser1 주변장치만 공격하는데에 집중하고 있다고 밝히며, 배후에 있는 범죄자들은 ATM 기기에 USB나 CD-ROM을 통해 코드를 다운로드 하기 위해서 ATM 기기를 물리적으로 열어야한다고 말했습니다. 또한 악성코드를 실행시키기 위해 기기 메인보드에 키보드를 장착해야한다고 덧붙였습니다.

또한 연구원들은 이 코드가 'Microsoft Extended Financial Services 미들웨어(XFS)를 사용하도록 설정된 모든 벤더의 하드웨어들'에서 실행이 가능할 것으로 추측하고 있습니다.

 

출처 :

https://www.scmagazine.com/go-ask-alice-new-atm-malware-detected/article/580286/

http://blog.trendmicro.com/trendlabs-security-intelligence/alice-lightweight-compact-no-nonsense-atm-malware/