Организация информационной безопасности


Cutlet Maker: коммерциализация налетов на банкоматы

Фотография предоставлена:

В «Лаборатории Касперского» проанализировали новое вредоносное ПО для опустошения банкоматов, выставленное на продажу в Даркнете.

Комплект программ Cutlet Maker был обнаружен на теневом рынке AlphaBay 27 мая, где он продавался по цене 5 тыс. долларов США. При этом продавец предлагал не только сам продукт, ориентированный на банкоматы конкретного вендора, но также подробное руководство пользователя, с пошаговыми инструкциями и видеоматериалами. Расследование показало, что первый образец вредоносной программы Cutlet Maker был представлен на проверку на специализированный сервис из Украины еще в июне прошлого года, затем были поданы новые сэмплы из разных стран.

Тулкит Cutlet Maker устанавливается с USB-накопителя и состоит из трех компонентов: основного модуля, взаимодействующего с диспенсером банкомата, генератора паролей c0decalc для защиты от неавторизованного запуска зловреда и приложения Stimulator, определяющего содержимое каждой кассеты банкомата (валюту, количество купюр и их достоинство).

«Cutlet Maker не требует от злоумышленника почти никаких особых знаний или профессиональных компьютерных навыков, превращая взлом банкомата из сложной силовой кибероперации в еще один противозаконный способ заработка денег, доступный практически всем, у кого есть несколько тысяч долларов на покупку зловреда, — комментирует эксперт «Лаборатории Касперского» Константин Жуков. — Однако еще важнее то, что во время работы Cutlet Maker взаимодействует с программным и аппаратным обеспечением банкомата, практически не встречая никаких препятствий».

Применялся ли этот тулкит в реальных атаках, неясно, хотя видеоролики, предлагаемые продавцом, якобы демонстрируют его эффективность на живых примерах. О происхождении создателя Cutlet Maker можно только догадываться: по словам экспертов, формулировки мануала и допущенные в нем грамматические и стилистические ошибки говорят о том, что английский язык — не родной для вирусописателя.

Примечательны также имя зловреда («Изготовитель котлет»; в русском языке есть жаргонное выражение «котлета», означающее «пачка денег») и названия некоторых кнопок управления: CHECK HEAT («проверить нагрев», выдается одна купюра из кассеты), start cooking! («начать готовку», выдается 50 пачек по 60 банкнот).

Одновременно с публикацией «Лаборатории» Bleeping Computer сообщил, что после разгрома AlphaBay, произошедшего в середине июля, продавцы Cutlet Maker открыли новую торговую точку — ATMjackpot, доступную через браузер Tor. Банкоматный тулкит здесь выставлен с небольшой модификацией: он состоит лишь из двух файлов — основного приложения и Stimulator.

Генератор паролей теперь не прилагается, код авторизации отображается в углу окна Cutlet Maker при запуске. Этот код нужно ввести на портале ATMjackpot, зайдя на него со смартфона, и получить там пароль для разблокировки зловреда. После этого можно будет запустить Simulator, выбрать кассету и начать изъятие наличных.

Обновленный комплект продается по цене 1,5 тыс. долларов в биткойнах, со второго месяца использования стоимость его удваивается. Bleeping Computer также уточнил производителя банкоматов, на которые нацелен Cutlet Maker, — это немецкая компания Wincor Nixdorf.

Защитные решения «Лаборатории Касперского детектируют Cutlet Maker как Backdoor.Win32.ATMletcut, Backdoor.Win32.ATMulator и Trojan.Win32.Agent.ikmo.

Чтобы оградить банкоматы от подобных зловредов, эксперты рекомендуют ввести строгие политики в отношении программ, не включенных в белые списки, ограничить подключение к банкоматам с неавторизованных устройств и использовать специализированную защиту.

19.10.2017 14:03