Malware Tanpa Jejak Menguras ATM di 40 Negara

Kejahatan siber dengan memanipulasi mesin ATM masih terus berlanjut hingga ke tahun 2017. Para kriminal dunia digital selalu saja menemukan cara untuk mengakali uang yang tersimpan dalam bok keamanan ATM. Sebuah kelompok penjahat siber khusus dalam hacking jaringan bank belum lama ini menggunakan fileless malware, ATM malware yang mampu membuat uang keluar dengan sendirinya dari dalam mesin.

Perampokan ATM ini adalah ulah kelompok hacker yang telah aktif selama bertahun-tahun. Mulai tahun 2016, kelompok ini telah beralih menggunakan Windows apps yang sah dan fileless (tanpa jejak) malware untuk meretas instansi pemerintah dan bank-bank di setidaknya 40 negara.

Karena serangan-serangan tersebut menggunakan teknik siluman yang meminimalisasi jejak digital pada server terinfeksi, menyulitkan para peneliti keamanan mendeteksi kelemahan dan kejanggalan yang tersisa. Namun, demikian diduga hacker mencuri data dari sistem terinfeksi meskipun mereka tidak mengetahui data apa.

Metode Serangan

Masih samarnya teknik yang digunakan oleh para penjahat siber perampok ATM membuat dunia cemas dengan situasi ini, perlahan namun pasti, akar permasalahan ini mulai terkuak sedikit demi sedikit. Hasil dari analisis mendalam diketahui bahwa penjahat ATM menggunakan berbagai eksploitasi di mana mereka menggunakan malware Windows tool dan PowerShell untuk meningkatkan peluang mereka mengakses ke sistem terdekat.

Target mereka adalah sistem yang mengelola jaringan ATM bank, hacker memanfaatkan fitur sistem remote management untuk terhubung ke ATM melalui Remote Desktop Protocl (RDP). Kemudian mereka mengirim dan menginstal generasi baru malware ATM pada mesin target.

Malware ini bekerja dengan membaca file command.txt lokal untuk instruksi. Perintah ini sangat sederhana yang terdiri dari satu karakter huruf dalam file commands.txt seperti:

‘O’ – Open dispenser
‘D’ – Dispense
‘I’ – Init XFS
‘U’ – Unlock XFS
‘S’ – Setup
‘E’ – Exit
‘G’ – Get Dispenser id
‘L’ – Set Dispenser id
‘C’ – Cancel

Ketika pelaku menemukan ATM tertentu yang menjadi sasaran, mereka akan meng-upload instruksi file commands.txt dan malware yang akan mengeksekusinya, memuntahkan uang tunai. Berdasarkan entri log diketahui ATM mencetak kata-kata di layar “Catch some money, bitch!”

Melacak Malware Tak Berjejak

Belum diketahui berapa banyak ATM yang sudah dikuras oleh pelaku menggunakan teknik ini, karena malware secara otoomatis akan menghapus dirinya sendiri setelah penyerangan selesai dilakukan dan membersihkan semua file yang tertinggal.

Dari jejak tertinggal terakhir yang mungkin gagal dihapus ditemukan file bernama tv.dll, setelah melakukan penelitian dan penelusuran secara rinci, peneliti akhirnya mampu mengetahui bagaimana malware bekerja dan melacaknya kembali ke bank yang telah dikompromikan oleh kelompok sama yang pernah terbongkar operasinya bulan Februari lalu.

Untuk saat ini para peneliti melacak hanya dua insiden dalam serangan malware ke ATM bank satu di Rusia dan yang lain di Kazakhstan, tetapi mereka menyakini lebih banyak ATM yang berhasil dikuras habis oelh kelompok ini.

Satu-satunya masalah adalah bahwa mendeteksi bank atau ATM yang diretas hampir tidak mungkin dilakukan karena sebagian besar perilaku berbahaya terjadi melalui malware yang mampu menghapus dirinya sendiri dan skrip PowerShell berbahaya yang mengeksekusi dalam memori, tanpa meninggalkan artefak pada disk. Setelah bank server/komputer atau AMT reboot, sebagian besar petunjuk yang dihapus dari memori.

Sumber berita:
https://www.bleepingcomputer.com