卡巴斯基实验室研究人员发现一种针对ATM实施攻击的恶意软件,该恶意软件在暗网上被公开销售。
卡巴斯基实验室研究人员发现一种针对ATM实施攻击的恶意软件,该恶意软件在暗网上被公开销售。Cutlet Maker由三个组件组成,如果攻击者能够物理接触到ATM机,就可以利用这种恶意软件实施盗窃。这种能够让罪犯有可能窃取到数百万元的工具包,该工具包目前正在黑市上以5000美元的价格销售,同时还配有详细的用户指南。
ATM仍然是网络欺诈者有利可图的攻击目标,他们会使用不同手段榨取最大的利润。有些人使用金属切割工具,依靠物理破坏手段,另一些人则选择使用恶意软件感染,从内部操纵ATM的吐钞器。尽管用于入侵ATM的恶意工具已经存在很多年,但最新的发现显示,恶意软件作者正在投入越来越多的资源制造他们的“产品”,让那些并不精通计算机科学的罪犯也可以使用。
今年早些时候,卡巴斯基实验室的一个合作伙伴为我们的研究人员提供了一个之前未知的可能用于感染ATM内部计算机的恶意软件样本。研究人员好奇这种恶意软件或相关东西是否在地下论坛进行交易。随后对这种恶意软件的特征在地下黑市进行了搜索,结果是肯定的:在一个流行的暗网——AlphaBay上发现了一则出售ATM恶意软件的广告,同搜索结果相匹配,并且发现这种最初的样本属于一种用于盗窃ATM的商业恶意软件工具包。研究人员发现恶意软件销售者发表的公开帖子中不仅包含这种恶意软件的描述,还有如何使用的执导,同时还提供了如何使用这种恶意软件工具包进行攻击详细的步骤指南以及教学视频。
根据研究,这种恶意软件工具包包含三个元素:
- Cutlet Maker软件:充当与ATM机的吐钞器进行通讯的主要模块。
- c0decalc程序:用来生产密码,以运行Cutlet Maker应用,并且保护它不被未授权使用。
- 模拟器应用:通过识别ATM出钞器的当前状态为罪犯节省时间。通过安装该应用,入侵者能够获取到每个出钞器的详细信息,例如面值和数量,让入侵者可以选择包含钞票金额最大的出钞器攻击,而无需盲目地挨个提取现金。
要开始盗窃,罪犯需要能够直接接触ATM的内部,以便访问USB接口,通过其上传恶意软件。如果成功,他们会将存储有软件工具包的USB设备插到计算机上。第一步,罪犯会安装Cutlet Maker。由于它受密码保护,因此他们使用安装在其他设备(如笔记本电脑或平板电脑)上的c0decalc程序 - 这是Cutlet Maker作者安装的一种“版权保护”,以防止其他罪犯免费使用这种工具。生成代码后,罪犯就可以进入Cutlet Maker的界面,开始从ATM中提取现金。
Cutlet Maker自2017年3月27日起就开始销售,但是研究人员还发现,这种恶意软件的最早样本早在2016年6月就已经进入安全社区的视线。当时,该样本从乌克兰被提交到一个公共的反病毒引擎扫描服务网站上,之后,还发现从其他国家提交的样本。我们不清楚这种恶意软件是否曾经被用于野外攻击,但是恶意软件包附带的指南以及作者提供的视频,都可以证明这种恶意软件在现实使用中的效果。
目前不知道这款恶意软件的幕后黑手是谁。但是根据销售者出售的这款工具的语言、语法以及格式错误等推断,这种恶意软件的作者应该是非英语母语者。
“使用Cutlet Maker的罪犯不需要掌握高级或专业的计算机知识和技巧,将ATM入侵这种复杂的网络入侵行为转换为一种任何人愿意花几千美元就可以购买恶意软件,从而实现非法获利的手段。这种恶意软件可能会成为一种对金融组织极度危险的威胁。但更重要的是,在操作时,Cutlet Maker与ATM软件和硬件交互,几乎没有遇到任何安全障碍。为了增强ATM的安全性,这一点应该有所改变,”卡巴斯基实验室安全研究员Konstantin Zykov说。
为了保护ATM抵御利用这类恶意工具的攻击,如Cutlet Maker,增强ATM的物理安全性,卡巴斯基实验室专家建议金融机构的安全团队采取以下措施:
- 启用严格的默认拒绝策略,避免未授权软件在ATM上运行。
- 启用设备控制机制,限制所有未授权设备连接到ATM。
- 使用定制的安全解决方案来保护ATM抵御Cutlet Maker恶意软件这类攻击。
为了更好的保护ATM,卡巴斯基实验室还建议使用可靠的安全解决方案,例如卡巴斯基嵌入系统安全解决方案。
卡巴斯基实验室产品能够成功检测和拦截Cutlet Maker恶意软件。
想要了解更多有关Cutlet Maker详情,请查看Securelist.com上的相关博文。
卡巴斯基实验室不断对针对ATM攻击的金融恶意软件进行研究。要了解针对ATM攻击的演化,请查看卡巴斯基实验室发表的关于针对ATM验证系统的未来攻击情景报告。
