某黑客(或黑客组织)在暗 上售卖一种名为“Cutlet Maker”的恶意软件,该软件通过连接ATM的USB端口,便可让ATM吐钞。
根据研究人员的观察,Cutlet Maker自2017年5月开始就已经在暗 的AlphaBay市场上出售了,但7月中旬美国执法机构取缔了Alphabay市场,在此之后,运营商开了一个独立的新 站,继续售卖Cutlet Maker。
一个新的暗 市场:ATMjackpot
暗 上的新站点名为ATMjackpot,出售Cutlet Maker恶意软件家族的软件,但ATMjackpot市场上的版本与之前的相比做了一些改动。
运营商声称 Cutlet Maker 可以在Wincor Nixdorf(德利多富,一家主要业务专注于零售系统和银行系统的公司)公司的所有 ATM设备上运行,使用者需要做的仅是访问到ATM的USB端口即可。
除此之外,ATMjackpot成员还发布了四组视频,详细地展示了软件的操作方式:如何访问ATM的USB端口、连接所需的硬件、运行恶意软件并让ATM机吐钞。(研究人员把其中的两个视频上传到了YouTube上:Video 1、Video 2)
也许在你的印象中,想要物理访问ATM机的USB接口至少需要一些类似强力钻或爆炸物之类的暴力破解工具,但是,看过视频你会发现,现在只要一把小刀,就可以完成这个操作了。
当下,Cutlet Maker在ATMjackpot市场上的售价为价值1500美元的比特币,售价在第二个月翻了一倍,这意味着Cutlet Maker软件确实有效。
Cutlet Maker的运作方式
正如视频上展示的那样,当骗子接近一台独立的ATM、使其USB端口暴露出来,并通过一个USB hub连接上之后,一次典型的Cutlet Maker攻击便开始了。通过集线器,连接上无线键盘、鼠标和闪存设备(其中存储了Cutlet Maker恶意软件)。
Cutlet Maker恶意软件包里有两个文件:
Cutlet Maker:主应用,用于连接ATM上软件的APIs
Stimulator:用于连接ATM机上现金盒的应用程序
一旦获得连接,用户必须运行Cutlet Maker恶意软件的主程序,之后,恶意软件会在窗口右下角展示一个代码。
Cutlet Maker 应用程序的界面
使用者必须记住该代码,因为之后需要通过手机(已安装Tor)访问ATMjackpot站点,输入这段代码才能获得解锁Cutlet Maker应用的代码。如下图所示:
与ATMjackpot站点的互动
骗子随后可以使用Simulator应用程序查询当前ATM现金盒内的余额并开始提钱。
一旦得知ATM机里的金额,便可以使用Cutlet Maker应用中的四个按钮进行操作,解释如下:
CHECK HEAT :选中某个ATM现金盒(一共4个),并取走其中的现金
start cooking!: 开始 取钱
Stop: 停止“start cooking”的操作
Reset:重置取款进程
恶意软件曾在AlphaBay上出售
卡巴斯基实验室最近也发布了一份有关Cutlet Maker恶意软件较老版本的细节分析 告,其中描述了今年早些时候在AlphaBay上出售的版本。
目前在ATMjackpot市场上发布的恶意软件与之前的版本所有不同, AlphaBay市场上的版本使用了三个文件,除了上面提到的两个,还有一个名为codecalc的文件,这个文件是恶意软件主应用的许可生成器使用(即激活密码生成器)。在最新的Cutlet Maker恶意软件版本里,供应商用似乎ATMjackpot暗 门户替换了codecalc文件。
卡巴斯基的 告里称:“Cutlet Maker恶意软件是用Delphi编码的, “cutlet”在俄语里有 “财源滚滚”的意思,疑是使用俄语的黑客编制的。 告里还声称使用卡巴斯基嵌入式系统安全(KESS)产品的ATM机能够阻止Cutlet Maker的运行。
不过上周Embedi的研究人员发布了一份 告(《用反黑客功能破解ATM,在2分钟内猎取100万》,文中展示了一种成功绕过KESS的方法。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!