La security enterprise Proofpoint lancia l’allarme sulla comparsa di GreenDispenser , nuovo malware pensato per infettare direttamente gli ATM bancari e garantire ai criminali che lo hanno creato (o magari solo acquistato da terzi) un flusso di denaro relativamente sicuro e a prova di identificazione.
GreenDispenser è l’ultimo esemplare di una genìa, quella dei malware da bancomat, che negli ultimi tempi si è fatta sempre più “audace” e prolifica grazie a “ceppi” malevoli come Suceful, Plotus, Tyupkin e altri. Di suo, il nuovo malware ci mette la capacità di non lasciare traccia dietro di sé e altri payload piuttosto sofisticati.
GreenDispenser è progettato per infettare gli ATM basati su Windows per mezzo del framework XFS , mentre il primo stadio dell’infezione necessita dell’accesso diretto al terminale o, magari, la collaborazione di un dipendente infedele che ha il compito di agire come “talpa” interna della banca da derubare.
Una volta preso il controllo dell’ATM, GreenDispenser visualizza un messaggio che simula uno stato di “fuori servizio”: ai cyber-criminali consapevoli dell’infezione, invece, basta digitare gli appositi codici PIN per svuotare le casse di banconote fresche e procedere infine alla disabilitazione del malware.
Una delle caratteristiche “esclusive” di GreenDispenser è infatti la capacità di auto-rimuoversi dal sistema tramite un comando “sdelete”; altrettanto peculiare è la presenza di una sorta di autenticazione a doppio fattore, dicono i ricercatori, che permette a chi gestisce l’operazione malevola di limitare l’accesso agli ATM infetti tramite un secondo PIN generato in maniera dinamica da ogni copia del malware.
GreenDispenser è progettato infine per avere una durata limitata nel tempo, visto che il codice malevolo si attiva solo nel caso in cui l’anno sia il 2015 e il mese precedente a settembre; le principali infezioni sono state qui identificate in Messico, avvertono da Proofpoint, ma le tecniche adoperate dalla minaccia potrebbero presto avere rilevanza mondiale.
Alfonso Maruccia