Dikenal dengan nama Skimer, inilah malware yang menargetkan ATM untuk pencurian uang. Sejak ditemukan pada tahun 2009, varian baru dari Skimer kembali muncul di tahun 2016 dengan mengincar ATM yang menggunakan sistem operasi Windows.
Pembuat malware biasanya menggunakan obfuscation pada malware agar sulit dianalisis. Begitu juga dengan Skimer yang menggunakan packer Themida yang memproteksi file infector dan dropper.
Sekali malware aktif, pengecekan file system akan dilakukan untuk meng-copy infector. Jika file system adalah FAT32, file malware akan di-copy ke C:\Windows\System32. Sebaliknya jika file system merupakan NTFS, file malware di-copy dalam bentuk data stream pada file service XFS. File infector akan memodifikasi file XFS, yaitu SpiService.exe untuk memanggil file malware yang dibuat oleh file infector, yaitu netmgr, dll.
File dropper ini juga diproteksi menggunakan Themida. Setelah reboot, file library malware akan secara otomatis dipanggil oleh SpiService.exe sehingga secara leluasa malware dapat mengakses XFS. Teknik virus dengan penginfeksian file ini digunakan oleh Skimer.
Pembuat malware memerlukan kartu khusus untuk berinteraksi dengan Skimer. Dengan kartu ini, malware dapat menerima perintah tertentu melalui kode yang dimasukkan menggunakan PIN pad.
Kemampuan lain dari Skimer, yaitu mengeksekusi perintah secara otomatis melalui kode instruksi yang terdapat pada kartu jenis lain. Kode instruksi ini secara hardcoded terletak di track 2 pada kartu.
Mengambil uang dari ATM merupakan aksi yangg dapat dilakukan oleh pembuat malware melalui akses yang dipegang oleh Skimer.
Untuk mengantisipasi malware pada ATM, pemanfaatan aplikasi antivirus sangat dibutuhkan untuk menghentikan ancaman Skimer. Melindungi BIOS pada ATM juga bisa dilakukan dengan cara menggunakan password dan mengisolasi akses secara fisik.
SOURCE BY PCMedia
Sekali malware aktif, pengecekan file system akan dilakukan untuk meng-copy infector. Jika file system adalah FAT32, file malware akan di-copy ke C:\Windows\System32. Sebaliknya jika file system merupakan NTFS, file malware di-copy dalam bentuk data stream pada file service XFS. File infector akan memodifikasi file XFS, yaitu SpiService.exe untuk memanggil file malware yang dibuat oleh file infector, yaitu netmgr, dll.
File dropper ini juga diproteksi menggunakan Themida. Setelah reboot, file library malware akan secara otomatis dipanggil oleh SpiService.exe sehingga secara leluasa malware dapat mengakses XFS. Teknik virus dengan penginfeksian file ini digunakan oleh Skimer.
Pembuat malware memerlukan kartu khusus untuk berinteraksi dengan Skimer. Dengan kartu ini, malware dapat menerima perintah tertentu melalui kode yang dimasukkan menggunakan PIN pad.
Kemampuan lain dari Skimer, yaitu mengeksekusi perintah secara otomatis melalui kode instruksi yang terdapat pada kartu jenis lain. Kode instruksi ini secara hardcoded terletak di track 2 pada kartu.
Mengambil uang dari ATM merupakan aksi yangg dapat dilakukan oleh pembuat malware melalui akses yang dipegang oleh Skimer.
Untuk mengantisipasi malware pada ATM, pemanfaatan aplikasi antivirus sangat dibutuhkan untuk menghentikan ancaman Skimer. Melindungi BIOS pada ATM juga bisa dilakukan dengan cara menggunakan password dan mengisolasi akses secara fisik.
SOURCE BY PCMedia
0 komentar:
Post a Comment