软件被恶意植入，在悄无声息的情况下自行运行，最后再自我删除，毫无痕迹……

新型的ATM恶意软件

安全专家最近发现一个新的 ATM 恶意软件，这个恶意软件被称为GreenDispenser，该恶意软件为非法分子窃取毫无防护之力的ATM现金提供了强大的臂助。

恶意软件的发现过程

安全服务商Proofpoint，初步还原了黑客利用该恶意软件实施攻击的全过程，也提出警告，这个恶意软件虽然只是在墨西哥被初步发现，但是在其他国家中很难阻止使用类似的技术对ATM进行攻击，从而窃取现金。

当将恶意软件植入ATM的时候，ATM的界面会显示“暂停服务”的通知，只要在恶意软件自动删除之前，黑客输入正确的PIN码就可以让ATM吐出现金。

这个恶意软件让我们联想到去年发现的ATM恶意软件Ploutus ，以及另外一个被称为 Tyupkin的恶意软件。 Tyupkin，也是在墨西哥首次被发现，但是后来扩散到俄罗斯以及亚洲部分国家和地区。

Proofpoint的首席安全专家Kevin Epstein 告诉EI Reg：

”GreenDispenser相比于其他两个恶意软件显得更加的高级，GreenDispenser有能力利用XFS的中间件标准，入侵不同的ATM供应商机器的硬件。”

GreenDispenser最初的扩散、植入，是需要物理访问到ATM机系统的，而实现的过程很可能是通过维护ATM机的工程师，或者是被贿赂的银行内部管理人员。而一旦植入了GreenDispenser之后，它启用的功能类似于Tyupkin，但是也有一些不一样的功能：时间限制和双因子认证。时间限制是指其能在指定的时间运行，双因子认证是为了确保只有犯罪团伙成员能从感染的机器取出现金。

据Proofpoint 分析，GreenDispenser的运行时间是在2015年9月之前，而且也只是在特定系统中静默运行，避免被发现。GreenDispenser中也捆绑了一个批处理脚本，专门用来进行深度自我删除(包括各种资料录像等)，扫除运行痕迹。

同时，在GreenDispenser运行过程中，通过一个移动终端应用，控制恶意软件运行，通过双因子认证的方式生成PIN验证码，犯罪团伙成员通过在ATM机上输入该验证码，就可以让ATM机吐出现金。

恶意软件的双因子验证，犯罪团伙成员先是通过使用一个静态硬编码的PIN码进行验证，一次验证过后，在第二次验证时犯罪团伙成员先通过移动终端应用控制恶意软件在ATM机器上生成QR码(二维码的一种)，再通过扫描这个QR码生成动态PIN码，最后输入动态PIN码让ATM机吐出现金。

结语

ATM恶意软件，如上述提到的GreenDispenser, Tyupkin and Ploutus，使得外部入侵者能够直接攻击金融基础设施，而不用其他额外的方法去获取用户的信用卡和借记卡信息，这对于金融机构来说，将是一个持续的挑战，在这种情况下，银行机构应该是先加强内部的安全管理。