FireEye ออกรายงานวิเคราะห์มัลแวร์ RIPPER (ชื่อโครงการในตัวอย่างมัลแวร์ว่า ATMRIPPER) ถูกส่งไปวิเคราะห์บน VirusTotal เมื่อวันที่ 23 สิงหาคมที่ผ่านมาจากไอพีในประเทศไทย ก่อนการรายงานข่าวการแฮกตู้เอทีเอ็มของธนาคารออมสินเพียงไม่กี่นาที มีค่า MD5 เป็น 15632224b7e5ca0ccb0a042daf2adc13
โดยมัลแวร์มุ่งควบคุมระบบจ่ายธนบัตรในตู้เอทีเอ็ม และสามารถรับคำสั่งจากเจ้าของมัลแวร์หากตู้ได้รับบัตร EMV ที่กำหนดไว้
รายงานของ FireEye ไม่ได้ระบุว่าตัวมัลแวร์เข้าไปในตู้ได้อย่างไร แต่เมื่อเข้าไปแล้วหาสั่งรันด้วยอาร์กิวเมนต์ service install
มันจะเข้าไปแทนที่ DBackup Service และหากรันด้วยอาร์กิวเมนต์ /install
จะติดตั้งตัวเองแทนที่ซอฟต์แวร์ของผู้ผลิต พร้อมกับแก้ registry เพื่อให้รันใหม่ทุกครั้งที่บูตเครื่อง
เมื่อรันโดยไม่มีอาร์กิวเมนต์ ตัวมัลแวร์จะเชื่อมต่อกับกล่องจ่ายธนบัตร, ตัวอ่านการ์ด, และแป้นพิมพ์ จากนั้นรอให้ตู้ได้รับการ์ด EMV (บัตรชิป) ที่ตรงตามเงื่อนไข (ตรงกับที่พล.ต.อ.ปัญญา ระบุว่าต้องใช้บัตรอิเล็กทรอนิกส์ แต่เป็นการใช้เพื่อยืนยันว่าคนร้ายอยู่หน้าตู้ ไม่ใช่การติดตั้ง) จะขึ้นหน้าจอรับคำสั่ง รวมถึงคำสั่งคำสั่งจ่ายเงินจากกล่องจ่ายเงิน (ไม่เกินครั้งละ 40 ใบ), คำสั่งปิดเน็ตเวิร์ค
รายงานของ FireEye ระบุว่ามัลแวร์ตัวนี้มุ่งเป้าไปที่ผู้ผลิตตู้ ATM หลายราย ขณะที่ข่าวการแฮกตู้เอทีเอ็มของธนาคารออมสินมักระบุว่ากระทบตู้เอทีเอ็มจากผู้ผลิตรายเดียว ทาง FireEye ระบุว่ามัลแวร์ RIPPER อาจเกี่ยวข้องกับการแฮกตู้เอทีเอ็มในไทย จากความเชื่อมโยงกัน แต่การยืนยันคงต้องรอธนาคารออมสินหรือธนาคารแห่งประเทศไทยยืนยันต่อไป
ที่มา - FireEye