連邦捜査局(FBI)は、米国全域でのATM強制出金攻撃の急増について金融機関に警告する緊急FLASHアラートを発行しました。
このアラートはPloutusマルウェアファミリーに関連する技術的詳細と侵害の兆候(IOC)を概説しており、これは犯罪者が銀行カードや顧客アカウントなしでATMに現金を強制的に吐き出させることを可能にします。
FBIによると、2020年以来1,900件以上のATM強制出金事件が報告されています。そのうち700件以上が2025年だけで発生し、2,000万ドルを超える損失が発生しています。
同庁は、脅威行為者がATMの物理的およびソフトウェアの脆弱性を利用して、マルウェアを直接機械に展開していると述べました。
Ploutusは顧客の銀行口座ではなく、ATM自体をターゲットにしています。現金の支払いなどのハードウェア機能を制御する、金融サービス向け拡張機能(XFS)ソフトウェアレイヤーを利用しています。
通常の状況下では、ATMソフトウェアは銀行の認可後にのみXFSに指示を送信します。しかし、攻撃者がXFSに独自のコマンドを送信する能力を獲得した場合、銀行の承認をバイパスして不正な現金引き出しをトリガーすることができます。
このマルウェアはWindowsベースのATMシステム上で実行され、最小限のコード変更で異なるメーカー間で動作することができます。
インストールされると、攻撃者に支払い機の直接制御を与え、数分以内にATMを空にすることができる急速な「キャッシュアウト」操作を可能にします。
脅威行為者は通常、オンラインで購入された汎用キーを使用してATM筐体を開くことで物理的アクセスを獲得します。
その後、ハードドライブを取り外し、マルウェアをコピーするか、事前ロードされた悪意のあるドライブに置き換えます。ATMを再起動した後、マルウェアが起動します。
侵害されたマシンで観察されたデジタルインジケータには、Newage.exe、Levantaito.exe、WinMonitor.exe、Anydesk1.exeなどの疑わしい実行可能ファイルが含まれます。
FBIは、異常なレジストリオートラン、「ATMサービス」または「ディスペンサーサービス」などの欺瞞的な名前を持つカスタムサービス、およびTeamViewerおよびAnyDeskなどの不正なリモートアクセスツールも特定しました。
セキュリティログは、USB挿入イベント(イベントID 6416および4663)、予期しないプロセス作成(イベントID 4688)、またはクリアされた監査ログ(イベントID 1102)を示す場合があります。
物理的な警告兆候には、メンテナンススケジュール外で開かれたATMドア、不正なUSBデバイス、または突然サービスから外れた機械が含まれます。
FBIは階層化された防御戦略を推奨しています。物理的制御には、アップグレードされたロック、振動および温度センサー、内部キーパッド、および改善されたカメラカバレッジが含まれるべきです。
ソフトウェア側では、機関は標的を絞った監査ポリシーを展開し、リムーバブルストレージの監視を有効にし、プロセス作成をログに記録し、ファイルハッシュを信頼できる「ゴールドイメージ」ベースラインに対して検証すべきです。予期しない実行可能ファイルまたは署名なしのバイナリは、潜在的な侵害として扱うべきです。
金融機関は、疑わしい活動を地元のFBI支部またはインターネット犯罪苦情センター(IC3)を通じて報告するよう促されています。FBIは、早期発見と厳格な物理的セキュリティ制御がさらなるATM強制出金損失を防ぐために重要であることを強調しました。
翻訳元: https://cyberpress.org/ploutus-drains-cardless-atms/