Penyelidikan dimulai setelah spesialis forensik perbankan melakukan pemulihan dan membagikan dua file yang berisi log malware dari hard drive ATM (kl.txt dan logfile.txt) kepada Kaspersky Lab.
Kedua file ini merupakan satu-satunya file yang tersisa setelah aksi serangan.
Tidak memungkinkan untuk memulihkan executable berbahaya karena setelah aksi perampokan penjahat siber langsung menghapus malware.
(BACA JUGA: Hati-hati, Kini Smartphone Rawan di-Hack, Ini 6 Tips Menghindarinya)
Walaupun begitu hanya berbekal sejumlah kecil data saja sudah cukup bagi ahli Kaspersky Lab untuk berhasil menjalankan penyelidikan.
Dalam file log tersebut, ahli Kaspersky Lab mampu mengidentifikasi potongan informasi dalam teks biasa yang membantu mereka membuat aturan YARA untuk repositori malware publik dan untuk menemukan sampel.
Aturan YARA - pada dasarnya sebuah rangkaian penyelidikan, membantu analis untuk menemukan, mengelompokan, dan mengkategorikan sampel malware terkait dan menarik hubungan antara mereka berdasarkan pola aktivitas yang mencurigakan pada sistem atau jaringan yang memiliki kesamaan.
Setelah lama menunggu, para ahli berhasil menemukan sampel malware yang diinginkan - "tv.dll", yang kemudian dijuluki sebagai ‘ATMitch’.
Malware tersebut terdeteksi, sebanyak dua kali, berkeliaran secara bebas: pertama dari Kazakhstan dan kedua dari Rusia.
(BACA JUGA: Gawat, aplikasi McDelivery McDonald’s Kena Hacked, Data Jutaan Pelanggan McD Bocor!)
Malware ini diinstal dan dijalankan, dari jarak jauh, pada ATM dari bank yang menjadi sasaran, melalui administrasi mesin ATM secara jarak jauh.
Setelah terpasang dan terhubung ke ATM, malware ATMitch berkomunikasi dengan ATM seolah-olah malware tersebut merupakan perangkat lunak yang sah.
