Suchen

Malware auf Geldautomaten GreenDispenser autorisiert Bargeldabhebung

| Redakteur: Stephan Augsten

Für Geldautomaten ist eine neue Malware namens „GreenDispenser“ in Umlauf. Der Schadcode erlaubt es einem Angreifer, die Geldkassetten eines infizierten ATM-Geräts zu entleeren. Allerdings bedarf es zur Erstinstallation offenbar eines physischen Zugangs.

Firmen zum Thema

Die Malware GreenDispenser ermöglicht es, die Geldkassetten eines Auszahlautomaten direkt zu entleeren.
Die Malware GreenDispenser ermöglicht es, die Geldkassetten eines Auszahlautomaten direkt zu entleeren.
(Bild: Archiv)

Sicherheitsforscher von Proofpoint haben eine neue, auf Geldautomaten (Automated Teller Machine, ATM) abzielende Malware entdeckt und GreenDispenser getauft. Bisher wurde die Angriffsmasche nur in Mexiko beobachtet. Alleine aufgrund der Machbarkeit ist aber weltweit mit Nachahmern zu rechnen.

Um den Schadcode zu installieren, benötigen die Angreifer offenbar einen direkten Zugriff auf die Hardware. Dies wirft natürlich die Frage nach physischen Schutz auf, der in Deutschland etwas höher anzusiedeln ist. GreenDispenser besitzt im Grunde aber die Möglichkeit, die Hardware jedweder Hersteller anzugreifen, sofern sie den XFS-Standard nutzen.

Nach der Installation zeigt GreenDispenser eine „Außer Betrieb“-Meldung auf dem Geldautomaten an. Die Tastatur nimmt aber weiterhin Eingaben an. Gibt ein Angreifer nun den korrekten PIN-Code an, dann kann er die zentral oder in Geldkassetten gelagerten Bargeldbestände abheben.

Proofpoint vermutet, dass die PIN-Codes nicht statisch im Schadcode hinterlegt sind, sondern dynamisch auf einem mobilen Gerät generiert werden. Dieses Prinzip kennt man von Einmal-Passwort-Generatoren zur Zwei-Faktor-Authentifizierung.

Analysen haben ergeben, dass GreenDispenser darauf ausgelegt war, nur im Jahr 2015 und vor September zu laufen. Proofpoint schließt daraus, dass die Malware nur in begrenztem Ausmaß verwendet wurde. Vor einem Monat sollte sie sich dann schließlich deaktivieren, um nicht entdeckt zu werden.

Für einen detaillierteren Einblick in diesen Fall hat Proofpoint einen Blog-Post zu GreenDispenser veröffentlicht.

(ID:43620188)