Sicherheitsforscher von Kaspersky haben einen Bericht zur Malware ATMii veröffentlicht. Diese ist erstmals im April 2017 aufgetaucht. Angreifer können damit Geld von infizierten Bankomaten ausgeben lassen, berichtet Bleeping Computer.
Ungewöhnlich sei, dass die Malware nur bei Bankomaten funktioniert, die als Betriebssystem Windows 7 oder Windows Vista nutzen. Der Großteil der Bankomaten nutzt derzeit eine reduzierte Version von Windows XP. Deshalb wird vermutet, dass es der Hacker nur auf ganz bestimmte Geräte abgesehen hat und speziell dafür die Malware programmiert hat.
Malware-Einspielung benötigt physischen Zugang zum Gerät
Das könnte so sein, weil der Angreifer nur Zugang zu einem bestimmten Bankomaten-Netzwerk hat. Um die Malware einspielen zu können, muss der Hacker nämlich Zugang zum Bankomaten-Netzwerk oder zum USB-Service-Anschluss des Geräts haben. Laut Kaspersky handelt es sich außerdem um eine sehr simple Malware – was ein Indiz dafür ist, dass sie der Angreifer nur für eine kleine Anzahl von Bankomaten programmiert hat.
In nur drei Befehlen zum Geld
Die Malware besteht nur aus den zwei Dateien exe.exe und dll.dll, die auf den Speicher des Bankomaten kopiert werden müssen. Nachdem die Exe-Datei ausgeführt, das Gerät infiziert und automatisch eine benötigte Ini-Datei angelegt wurde, stehen dem Angreifer drei Befehle zur Verfügung. „Info“ zeigt den Inhalt der Geldkassetten an. Diese Information wird benötigt, um mit dem „Disp“-Befehl einzugeben, wieviel von welcher Währung der Bankomat ausgeben soll. Ist der Diebstahl so erledigt, wird mit dem Befehl „die“ die Ini-Datei gelöscht, was vermutlich ein Versuch ist die Spuren zu verwischen.
Laut Kaspersky zeigt diese Malware wieder einmal, mit wie wenig Programmieraufwand ein Bankomat leergeräumt werden kann. Wie üblich wird empfohlen den physischen Zugang zu Bankomaten einzuschränken und die Ports, wie etwa die USB-Anschlüsse, softwareseitig zu deaktivieren.