为图吐钱更快?ATM自动化盗钱木马WinPot展示

释放双眼,带上耳机,听听看~!

各种自动化可以帮助人们完成日常工作,使其更快更简单。

虽然入侵ATM是一种非常特殊的工作,但是一些网络犯罪分子花了很多精力来实现自动化。

在2018年3月,卡巴斯基安全研究员遇到了一个名为WinPot的相当简单但有效的恶意软件。

它的创建是为了让一家受欢迎的ATM供应商自动分配ATM,以便从他们最有价值的目标(也就是指定的ATM实体机)中自动获取所有现金。

这类软件统称为ATMPot。

该恶意软件程序图标为老虎机

 (hash:821e593e80c598883433da88a5431e9d)

程序界面

犯罪分子显然花了一些时间在界面上,让它看起来像老虎机。

取名可能参考流行术语 ATM-jackpotting,它指的是用于清空ATM的技术。


WinPot的使用情况如下,每个装钱的盒子(下图那个样子,我也不知道中文应该叫啥,知道的可以指导一下)都有一个自己编号为1到4的卷轴(4是ATM中的最大取款盒数)和一个标有SPIN的按钮。

一旦你按下旋转按钮

(在我们的情况下它是灰色的,因为我们实际上是在分配现金),

ATM开始从相应的盒式磁带分配现金。开始旋转,发钱

SPIN按钮下面,有关于纸盒的信息(纸币值和纸盒中的纸币数量)。

SCAN按钮是为了重新扫描ATM并更新SLOT按钮下的数字

而STOP按钮则停止正在进行的分配。

以上为WinPot的大致功能。

经过持续监控,WinPot一直在更新样本,每个样本都进行了少量修改。例如,更改了加壳方法(如Yoda和UPX),或更新了恶意软件的运行的时间段,在此期间被设定为工作(例如,在3月期间)。

如果系统时间不在预设时间内,则WinPot将静默停止运行而不显示其界面。

也就是说,这玩意可能是会显示在指定的ATM触摸屏或者是某一台有权限连接ATM的设备上的,点一下就出钱。

而这类样本和在2018年夏天发布的欧洲欺诈(https://www.association-secure-transactions.eu/east-publishes-fraud-update-2-2018/)中存在关联。

它有几行关于WinPot:

“九个国家报告了ATM恶意软件和逻辑安全攻击。其中五个国家报告了与ATM相关的恶意软件。除了Cutlet Maker(用于ATM现金)之外,还报道了一种名为WinPot的新变种……“


与Cutler Maker相同,WinPot可在(暗)网上使用,价格约为500 – 1000美元,可谈。

(真贵)

其中一个卖家提供了WinPot v.3以及描述“新”恶意软件版本的演示视频以及带有标题“ShowMeMoney”的仍未识别的程序。

它的外观和机制看起来与CutletMaker故事中的Stimulator非常相似。

(https://securelist.com/atm-malware-is-being-sold-on-darknet-market/81871/)

在演示视频中,卖家提供了下面两款软件的界面展示

谜之功能

Winpot v3展示

由于这类恶意软件主要功能就是取钱,因此其核心功能不会发生太大变化。

但犯罪分子确实遇到了问题,因此他们进行了以下更新:

1、绕过ATM安全系统(使用加壳或其他方法使每个新样本独一无二)

2、克服潜在的ATM限制(如每次取得金额的最大值);

3、想方设法防止钱骡滥用他们的恶意软件;

(钱骡就是那些负责取钱的人,他们一般进行入侵和拿钱的都分为两波人,因此同样存在竞争关系)

可以看我下面这两篇,之前提到过

世界各地的ATM大部分都可以在30分钟内被黑客攻击

为何ATM后箱频频被撬,也许是“黑匣子”攻击

4、改进界面和bug。

因此,我们期望看到对现有ATM恶意软件的更多修改。

保护ATM免受此类威胁的首选方法是在其上运行设备控制和处理白名单软件。

前者将阻止将恶意软件直接植入ATM PC的USB路径,而后者将阻止在其上执行未经授权的软件。

**欢迎转发,谢谢各位大佬。

好看吗,不好看也点一个呗

本文源自微信公众号:黑鸟

人已赞赏
安全工具

APT组织海莲花的MacOS后门更新:MacOS信息收集攻略

2019-10-16 10:38:38

安全工具

黑鸟威胁情报研究与分享

2019-10-16 10:38:43

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索