該新惡意軟件家族名為“艾麗絲”(Alice)，是至今為止最暴力直白的ATM威脅。它沒有任何信息竊取功能，甚至不能通過ATM的數(shù)字小鍵盤進行控制。

[[180041]]

雖然是在2016年才首次被發(fā)現(xiàn)，艾麗絲據(jù)信2014年左右便已出現(xiàn)，趨勢科技稱這僅僅是迄今為止的第8個ATM惡意軟件家族——雖然此類威脅早已在我們身邊長達9年多了。

艾麗絲需要能物理接觸到ATM機才能使用，趨勢科技認為其設計目的是為了讓錢騾偷走被攻擊柜員機里所有現(xiàn)金。該功能在去年便被發(fā)現(xiàn)過，當時的執(zhí)行軟件名為GreenDispenser。

但是，與老款不同，這一新威脅不連接ATM機的密碼輸入鍵盤，且能通過遠程桌面協(xié)議運作。雖然趨勢科技稱至今尚未發(fā)現(xiàn)此類用例。

惡意軟件分析發(fā)現(xiàn)：艾麗絲(該名字在惡意軟件二進制文件的版本信息中有包含Alice字樣)采用了一款名為VMProtect的商用加殼/混淆器進行打包，防止在調(diào)試器中被運行。而且，該惡意軟件還會在運行之前檢查自身環(huán)境，只要發(fā)現(xiàn)自己不是運行在ATM機上就會終止進程(主要檢查幾個注冊表鍵和系統(tǒng)上是否安裝有特定DLL)。

若運行在ATM機上，艾麗絲會在根目錄寫入2個文件，5 MB+大小的空文件xfs_supp.sys，以及名為TRCERR.LOG的錯誤日志文件。然后，它會連上CurrencyDispenser1外設，也就是XFS環(huán)境中的吐鈔設備。只要輸入正確的密碼，CurrencyDispenser1就會顯示ATM機內(nèi)各個錢匣里所裝鈔票的信息。

由于該惡意軟件只連接CurrencyDispenser1外設，而不嘗試使用機器的密碼輸入鍵盤，研究人員認為，攻擊者是物理打開ATM機并通過USB或光驅(qū)感染機器的。另外，攻擊者還將鍵盤連接到了ATM機的主板上，通過這個鍵盤來操作惡意軟件。

艾麗絲支持3個指令，每一個都通過特定PIN碼發(fā)送：其一是釋放卸載文件，另一個是推出程序并執(zhí)行卸載/清理操作，第三個則是打開“操作面板”。該面板就是ATM內(nèi)可用現(xiàn)金信息的展示板。

攻擊者只需輸入錢匣的ID便可讓ATM機吐光鈔票。吐鈔指令通過WFSExecute編程接口發(fā)送給CurrencyDispenser1外設。因為ATM機通常會有吐鈔數(shù)量限制，攻擊者可能需要多次重復同樣的操作，才能清空ATM機里錢匣存放的所有鈔票。剩余可用現(xiàn)金的信息會動態(tài)顯示在屏幕上，攻擊者可據(jù)此知曉錢匣什么時候被清空。

趨勢科技認為，攻擊者用艾麗絲手動替換了目標ATM機上的Windows任務管理器，因為被感染系統(tǒng)上發(fā)現(xiàn)的該惡意軟件通常是以taskmgr.exe的形式存在的。該惡意軟件沒有長期駐留方法，但以任務管理器的形式運行，意味著每次系統(tǒng)發(fā)出啟動任務管理器的指令，艾麗絲就會被啟動。

吐鈔前的PIN碼輸入操作，揭示出艾麗絲只能用于現(xiàn)場攻擊。它既沒有精心謀劃的安裝機制，也沒有縝密的卸載機制，就是通過在合適的環(huán)境中運行可執(zhí)行文件來起效。

PIN驗證系統(tǒng)與其他ATM惡意軟件家族使用的類似，但同時也給艾麗絲的作者提供了對其使用者的授權控制。通過修改各樣本的訪問碼，作者既能防止錢騾共享惡意軟件代碼，又能追蹤單個錢騾。

被分析的樣本使用了4位數(shù)字的口令，但其他樣本或許使用的是更長的PIN碼。該PIN碼不能被暴力破解，因為艾麗絲有輸入次數(shù)限制，超過次數(shù)就會自我了斷并顯示一條錯誤消息。研究人員還認為，Alice可在任意使用了微軟擴展金融服務中間件(XFS)的硬件上運行。

直到最近，ATM惡意軟件在惡意軟件世界中都還是利基類別(注：利基是指某些空白的細分領域)，被一小撮犯罪團伙以高度針對性的方式使用。但我們正處在ATM惡意軟件逐漸成為主流的節(jié)點上。