Исследователи "Лаборатории Касперского" обнаружили набор вредоносных программ для взлома банкоматов, который открыто продавался на рынке DarkNet. Cutlet Maker состоит из трех компонентов и обеспечивает возможность снятия "джекпота", если злоумышленник сможет получить физический доступ к машине. Набор инструментов, потенциально позволяющий преступникам украсть миллионы и оснащенный пошаговым руководством пользователя, был продан всего за 5000 долларов.
Банкоматы по-прежнему являются мишенями для мошенников, которые используют различные методы для получения максимальной прибыли. В то время как некоторые полагаются на физически разрушающие методы, другие выбирают вредоносные инфекции, позволяя им манипулировать банкоматами изнутри. Хотя вредоносные инструменты для взлома банкоматов известны уже много лет, последнее открытие показывает, что создатели вредоносных программ вкладывают все больше ресурсов в создание своих "продуктов" для преступников, которые не очень знакомы с информатикой.
Ранее в этом году партнер "Лаборатории Касперского" предоставил одному из исследователей ранее неизвестный вредоносный образец, предположительно сделанный для заражения ПК, работающих внутри банкоматов. Исследователям было интересно узнать, доступно ли это вредоносное ПО или что-то связанное с ним на подпольных форумах. Последовательный поиск уникальных артефактов вредоносного ПО был успешным: рекламное предложение, описывающее наполнение вредоносного ПО ATM на AlphaBay, соответствовало поисковому запросу и показало, что исходный образец принадлежал коммерческому вредоносному набору, созданному для срыва "джекпота" в ATM. Публикация вредоносного ПО, найденная исследователями, содержала не только описание вредоносной программы и инструкции о ее получении, но и подробное пошаговое руководство о том, как использовать вредоносный набор в атаках, с инструкциями и видеоуроками.
Согласно исследованию, набор вредоносных программ состоит из трех элементов: Cutlet Maker, который служит основным модулем, ответственным за связь с диспенсером ATM, программа c0decalc, предназначенная для генерации пароля для запуска приложения Cutlet Maker и защиты его от несанкционированного использования, а также приложение-стимулятор, которое экономит время для преступников, идентифицируя текущее состояние кассет наличных в банкоматах. Установив это приложение, злоумышленник получает точную информацию о валюте и количестве банкнот в каждой кассете, поэтому может выбрать ту, которая содержит наибольшую сумму, вместо того, чтобы слепо снимать наличные поштучно.
Чтобы начать кражу, преступники должны получить прямой доступ к USB-порту банкомата, который используется для загрузки вредоносного ПО. В случае успеха они подключают USB-устройство, в котором хранится программный набор. В качестве первого шага преступники устанавливают Cutlet Maker. Поскольку решение защищено паролем, они используют программу c0decalc, установленную на другом устройстве, таком как ноутбук или планшет — это своего рода "защита авторских прав", установленная авторами Cutlet Maker, чтобы другие преступники не использовали ее бесплатно. После создания кода преступники вводят его в интерфейс Cutler Maker, чтобы начать процесс снятия денег.
Неизвестно, кто стоит за этим вредоносным ПО. Что касается потенциальных продавцов инструментария, их язык, грамматика и стилистические ошибки говорят о том, что они не являются носителями английского языка.
"Разработчик Cutlet превращает банкоматы в еще один незаконный способ заработать деньги, доступный практически любому, у кого есть несколько тысяч долларов для покупки вредоносного ПО. Это может потенциально стать опасной угрозой для финансовых организаций. Но что более важно, так это то, что во время работы Cutlet Maker взаимодействует с программным обеспечением и оборудованием банкоматов, практически не сталкиваясь с защитой безопасности", — заявил Константин Зыков, эксперт по безопасности в "Лаборатории Касперского".
Чтобы защитить банкоматы от атак с помощью таких вредоносных инструментов, как Cutlet Maker, и в дополнение к обеспечению надежной физической безопасности в банкоматах, специалисты "Лаборатории Касперского" советуют специалистам по безопасности финансовых организаций внедрять строгие политики по умолчанию, запрещающие запуск несанкционированного ПО в банкомате, включать механизмы управления устройствами, чтобы ограничить подключение любых неавторизованных устройств к банкомату, использовать индивидуальное решение безопасности для защиты банкоматов.