黑客使用无文件恶意软件从ATM机上窃取了80万美元

即使是受影响的银行，也无法在其ATM机或后端网络上找到任何恶意软件的痕迹，或任何入侵迹象。这家未具名银行的专家从ATM机硬盘上找到的唯一线索是—；两个包含恶意软件日志的文件。

日志文件包括两个进程字符串，其中包含短语：“拿钱婊子！”和“分配成功”

这个小线索足以让俄罗斯安全公司卡巴斯基的研究人员找到与ATM攻击有关的恶意软件样本。卡巴斯基一直在调查ATM盗窃案。

今年2月，卡巴斯基实验室报告称，攻击者成功地用“无文件恶意软件”攻击了美国、欧洲和其他地方的140多家企业，包括银行、电信和政府机构，但几乎没有提供攻击的细节。

根据研究人员的说法，针对银行的攻击是使用一种无文件恶意软件进行的，该软件只驻留在受感染ATM机的内存（RAM）中，而不是硬盘上。

据ThreatPost报道，周一在圣马丁举行的卡巴斯基安全分析师峰会期间，安全研究人员谢尔盖·戈洛瓦诺夫（Sergey Golovanov）和伊戈尔·苏门科夫（Igor Soumenkov）深入研究了针对两家俄罗斯银行的ATM黑客行为，描述了攻击者如何利用无文件恶意软件在银行系统中站稳脚跟并套现。

研究人员发现神秘的ATM黑客

配音阿特米奇恶意软件—；曾在哈萨克斯坦和俄罗斯野外发现—；通过其远程管理模块在ATM机上远程安装和执行，这使黑客能够形成SSH隧道，部署恶意软件，然后将命令发送到ATM机以分发现金。

由于无文件恶意软件使用机器上现有的合法工具，因此系统上不会安装恶意软件，ATM将恶意代码视为合法软件，允许远程操作员在其同事出现在受感染的ATM上时发送命令以取款。

这起ATM盗窃案只需几秒钟就可以完成，操作员不必亲自靠近机器。ATM机清空后，操作员会“注销”，留下一点恶意软件的痕迹（如果有的话）。

然而，只有攻击者通过银行的后端网络进入，这种远程攻击才有可能发生，这一过程需要更复杂的网络入侵技能。

一种非常精确的物理穿透形式

由于直接打开ATM的面板也可能触发警报，攻击者转向了一种非常精确的物理穿透形式：在ATM的前面板上钻一个高尔夫球大小的孔，以便使用串行分布式控制（SDC RS485标准）线直接访问提款机面板。

当Golovanov和Soumenkov能够在工程师逮捕一名装扮成建筑工人的ATM攻击时发现了这种方法，而他在一天的中午钻进自动取款机，以注入恶意命令来触发机器的现金分配器。

嫌犯被逮捕时带着一台笔记本电脑、电缆和一个小盒子。尽管研究人员没有说出受影响的ATM制造商或银行的名字，但他们警告说，ATM窃贼已经在俄罗斯和欧洲各地使用了ATM演习攻击。

事实上，这项技术也影响到世界各地的自动取款机，使它们很容易在几分钟内被取出现金。

目前，这些ATM黑客背后的组织或国家不得而知，但攻击中存在的编码包含对俄语的引用，其战术、技术和程序与抢劫银行团伙Carbanak和GCMAN使用的类似。

无文件恶意软件攻击越来越频繁。就在上个月，研究人员发现了一种新的无文件恶意软件，名为DNSMessenger，它使用DNS查询在受损的计算机上执行恶意PowerShell命令，使恶意软件难以检测。