青松资讯:警惕黑市上正热销的ATM恶意软件

其他 2018-12-07 00:08:48 阅读次数: 0

ATM系统看起来非常安全,但实际上是,只要知道了系统的运行原理,ATM机里的钱款可以轻而易举被盗取。犯罪分子利用硬件和软件漏洞与ATM机进行交互,这意味着对于ATM系统来说,安全对他们是更为关键的需求。

令人担忧的是,ATM恶意软件以及其操作手册非常容易被获取,任何人都可以在黑市上以大概5000美元的价格买到它。

背景

在今年5月,其实我们已经在某论坛上发现了针对特定ATM系统的ATM恶意软件的广告贴。该广告贴包含了一个恶意软件工具包的简短描述。而这个恶意软件是在特定的API帮助下来实现盗取ATMs里的钱款,并不需要与ATM用户和他们的数据进行交互。这个帖子最初发表在AlphaBay暗网市场上,不过最近已被撤下。

广告发布

在AlphaBay市场上发布的一个帖子

我们在研究时发现,这个工具包的定价是5000美元,AlphaBay描述包括一些细节,如所需的设备,目标ATMs模型,以及恶意软件操作的提示和技巧。同时,它还包含了工具包的详细手册的一部分。

AlphaBay市场上的描述截图

之前描述的ATM恶意软件Tyupkin也在上文中提到。使用手册“Wall ATM Read Me.txt“用蹩脚的英语语法编辑,并以纯文本格式分发。俚语和语法错误的使用表明,这篇文章最有可能是由一个俄语母语者撰写。

部分使用手册截图

手册提供了一张详细的图片,虽然只显示完整手册的一部分,但对于分发过程的每一个步骤都有基本描述:

准备所有的工具,所有的程序都应该放置在一个闪存盘上。

工具包括无线键盘、usb集线器、usb数据线、usb适配器、Windows 7笔记本电脑或平板电脑(运行代码生成器)和一个钻头。

找到一个合适的自动取款机

打开ATM门,插入USB端口。

执行探测器以查看所有ATM现金盒的完整信息。

执行CUTLET MAKER获得它的代码。

在平板电脑上运行密码生成器,或者在笔记本电脑和剪贴板制造商代码上,将结果密码设置为CUTLET MAKER。

从所选的现金盒中分配钱款。

使用手册提供了所有工具的操作说明。该工具包的恶意软件列表由CUTLET MAKER ATM恶意软件(主要元素)组成,其中包括一个密码生成器和一个探测器——一个用于收集目标ATM的现金盒状态的应用程序。恶意软件工具包一般是由不同的作者编写的程序集合,尽管CUTLET MAKER和探测器通常拥有同等的保护程序,但c0decalc是一个简单的基于终端的应用程序,没有任何保护。

简单有效的程序组合:CUTLET MAKER、c0decalc和探测器

第一个程序名为 “CUTLET MAKER”,它被设计用于在特定的供应商ATMs上操作现金分配过程。

为了回答这个问题,我们必须解释“CUTLET”这个词的含义。最初,它意味着一个肉菜,但作为一个俄罗斯俚语——“肉片”(котлета)意味着“一捆钱”,这表明恶意软件背后的罪犯可能以俄罗斯为母语。

“Cutlet Maker”恶意软件的功能表明,整个盗窃过程应该由至少两个人来操作——角色被称为“drop”和“drop master”。使用CUTLET MAKER的分配机制是存在密码保护的。因此可能需要专人来使用c0decalc应用程序来生成密码,在应用程序文本区域中输入代码,并与用户界面交互,需要对ATM进行网络或物理访问。

探测器可能是由同一作者开发的。它的目的是检索和显示特定供应商ATM现金盒的状态信息(例如货币、价值和票据数量)。

Cutlet Maker和c0decalc

Cutlet Maker是负责从ATM机中分发钱款的主要模块。

使用红色矩形标记的代码

为了打开应用程序,需要输入来自c0decalc生成器的密码,从而响应给定的挑战代码。如果密码不正确,接口将不会对任何进一步的输入作出反应。

每个“check heat”和“start cooking”按钮对应于特定的ATM现金盒。标有“check heat”的按钮可以分发一条记录,“ start cooking”可以分发50个“小片”,每一小片都包含60条记录。“stop”按钮可以中止正在进行的“start cooking”过程。“Reset”旨在重置分发流程。

c0decalc为CUTLET MAKER提供密码生成器

这个工具是一个不受保护的命令行应用程序,在Visual c中编写完成。这个应用程序的目的是为CUTLET MAKER的图形界面生成一个密码。

输入“123456“后的输出示例结论

这种类型的恶意软件不会直接影响银行客户,它的目的是盗窃特定供应商ATMs的现金。CUTLET MAKER和探测器显示了罪犯是如何使用合法的专有库和一小段代码从ATM机中分配钱款的。

针对此类攻击的安全对策也很简单,最简单的一个措施是防止犯罪分子在ATM的内部PC上运行自己的代码。在这些攻击中,ATMs很可能是通过对PC的物理访问被感染的,这意味着犯罪分子可以使用USB驱动器在机器上安装恶意软件。在这种情况下,使用设备控制软件将阻止他们连接新的设备,从而防止恶意软件的安装。

—  end —

*本文由青松编译,转载请注明。

猜你喜欢

转载自blog.csdn.net/qssec__com/article/details/84787581
今日推荐
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
周排行
rbac——界面、权限
Apache CXF + SpringMVC 整合发布WebService
so插件化
Vue.js实战系列---图标字体制作(svg格式)
PAT乙级 1007 素数对猜想(孪生素数对) (20分) ---(C语言 + 详细注释)
被IRM保护的文档,打开失败
Calendar和Date计算日期差的小问题
win10子系统ubuntu18.4安装docker
利用Wrap Shell Script定位Android Native内存泄漏
MySQL: Transaction (Part I - Basic Concept)
每日归档
更多
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022