Tin tặc đánh cắp tiền điện tử trị giá lên đến 16.000 USD từ máy ATM Bitcoin bằng cách khai thác lỗ hổng Zero-Day

Tin tặc đánh cắp tiền điện tử trị giá lên đến 16.000 USD từ máy ATM Bitcoin bằng cách khai thác lỗ hổng Zero-Day

Nhà sản xuất máy ATM Bitcoin, General Bytes xác nhận rằng họ là nạn nhân của một cuộc tấn công mạng đã khai thác một lỗ hổng chưa từng biết trước đây trong phần mềm của họ để cướp tiền điện tử từ người dùng.

Tin tặc đánh cắp tiền điện tử trị giá lên đến 16.000 USD từ máy ATM Bitcoin bằng cách khai thác lỗ hổng Zero-Day

"Kẻ tấn công có thể tạo người dùng quản trị từ xa thông qua giao diện quản trị CAS thông qua lệnh gọi URL trên trang được sử dụng để cài đặt mặc định trên máy chủ và tạo người dùng quản trị đầu tiên", công ty cho biết trong một lời khuyên vào tuần trước. "Lỗ hổng này đã xuất hiện trong phần mềm CAS kể từ phiên bản 2020-12-08."

Tổng thiệt hại gây ra cho các nhà khai thác ATM dựa trên phản hồi của General Bytes là 16.000 USD.

CAS là viết tắt của Crypto Application Server, một sản phẩm tự lưu trữ từ General Bytes cho phép các công ty quản lý máy ATM Bitcoin (BATM) từ vị trí trung tâm thông qua trình duyệt web trên máy tính để bàn hoặc thiết bị di động.

Lỗ hổng zero-day, liên quan đến lỗi trong giao diện quản trị CAS, đã được giảm nhẹ trong hai bản vá lỗi máy chủ, 20220531.38 và 20220725.22.

General Bytes cho biết tác nhân đe dọa giấu tên đã xác định đang chạy các dịch vụ CAS trên các cổng 7777 hoặc 443 bằng cách quét không gian địa chỉ IP lưu trữ đám mây DigitalOcean, tiếp theo là lạm dụng lỗ hổng để thêm người dùng quản trị mặc định mới có tên "gb" vào CAS.

"Kẻ tấn công đã sửa đổi cài đặt tiền điện tử của các máy hai chiều với cài đặt ví của hắn và cài đặt 'địa chỉ thanh toán không hợp lệ'", nó cho biết. "Các máy ATM hai chiều bắt đầu chuyển tiền vào ví của kẻ tấn công khi khách hàng gửi tiền vào [máy] ATM."

Nói cách khác, mục tiêu của cuộc tấn công là sửa đổi cài đặt theo cách mà tất cả tiền sẽ được chuyển đến một địa chỉ ví kỹ thuật số dưới sự kiểm soát của đối thủ.

Công ty cũng nhấn mạnh rằng họ đã thực hiện "nhiều cuộc kiểm tra bảo mật" kể từ năm 2020 và thiếu sót này chưa bao giờ được xác định, thêm vào đó cuộc tấn công xảy ra ba ngày sau khi công bố công khai tính năng "Trợ giúp Ukraine" trên các máy ATM của mình.

Hương – Theo TheHackerNews