當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口以及它們是如何與特定的銀行應用交互的。
此後,我們與Europol的歐洲網絡犯罪中心(EC3)合作,向公眾宣傳了針對ATM的不同種類的網絡威脅以及發展趨勢。接下來我們不停針對ATM所面對的威脅發出自己的聲音,並寫了一篇文章詳細介紹多年來出現的ATM惡意軟件家族。
相關研究:針對ATM的惡意軟件:全面瞭解各種攻擊類型
現如今,在ATM惡意軟件領域我們觀察到了很多最新的變化,但最重要的一點不是和技術有關:ATM惡意軟件已經成為地下網絡犯罪論壇的一個共同而顯著的特徵,它已經是攻擊者用來竊取現金的武器庫的一部分。ATM惡意軟件已經成為一種普通的商品,任何一個投資1000美元的罪犯都可以立即開始攻擊ATM。
值得注意的是,這些惡意軟件來自講俄語的銷售商。這當然並不代表南美黑客組織已經停止攻擊ATM,而是表示俄羅斯的黑客組織擁有一個更加活躍、繁榮的非法市場,那裡的惡意軟件需求旺盛。
ATM惡意軟件101:犯罪建議和在線幫助
當你購買網絡犯罪產品時,不僅僅會得到惡意軟件,通常,這些軟件的銷售商還會提供使用指導、建議和故障排除指南。
舉個例子,最廣為人知的ATM惡意軟件之一,Cutlet Maker,詳細描述了成功攻擊所需的硬件,以及程序的詳細使用說明。
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口以及它們是如何與特定的銀行應用交互的。
此後,我們與Europol的歐洲網絡犯罪中心(EC3)合作,向公眾宣傳了針對ATM的不同種類的網絡威脅以及發展趨勢。接下來我們不停針對ATM所面對的威脅發出自己的聲音,並寫了一篇文章詳細介紹多年來出現的ATM惡意軟件家族。
相關研究:針對ATM的惡意軟件:全面瞭解各種攻擊類型
現如今,在ATM惡意軟件領域我們觀察到了很多最新的變化,但最重要的一點不是和技術有關:ATM惡意軟件已經成為地下網絡犯罪論壇的一個共同而顯著的特徵,它已經是攻擊者用來竊取現金的武器庫的一部分。ATM惡意軟件已經成為一種普通的商品,任何一個投資1000美元的罪犯都可以立即開始攻擊ATM。
值得注意的是,這些惡意軟件來自講俄語的銷售商。這當然並不代表南美黑客組織已經停止攻擊ATM,而是表示俄羅斯的黑客組織擁有一個更加活躍、繁榮的非法市場,那裡的惡意軟件需求旺盛。
ATM惡意軟件101:犯罪建議和在線幫助
當你購買網絡犯罪產品時,不僅僅會得到惡意軟件,通常,這些軟件的銷售商還會提供使用指導、建議和故障排除指南。
舉個例子,最廣為人知的ATM惡意軟件之一,Cutlet Maker,詳細描述了成功攻擊所需的硬件,以及程序的詳細使用說明。
Cutlet Maker軟件的主要一部分:對ATM品牌和型號的描述,以及攻擊它所需的設備
除了通用的“用戶手冊”外,賣家還分享了關於如何在不同環境下進行軟件故障排除的建議。以下是本指南引言的翻譯:
“原始手冊和第二個手冊概述了軟件工作所需的所有條件。Tav真的擁有一切。而在這本手冊中,我將介紹如何克服有可能出現的困難,這充分結合了我自己的經驗。”
我們無法確定這段話中的“Tav”是指惡意軟件還是手冊的編寫者,亦或是該惡意軟件的內部名稱。這份文檔將手冊的作者標識為“Bogdan”。
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口以及它們是如何與特定的銀行應用交互的。
此後,我們與Europol的歐洲網絡犯罪中心(EC3)合作,向公眾宣傳了針對ATM的不同種類的網絡威脅以及發展趨勢。接下來我們不停針對ATM所面對的威脅發出自己的聲音,並寫了一篇文章詳細介紹多年來出現的ATM惡意軟件家族。
相關研究:針對ATM的惡意軟件:全面瞭解各種攻擊類型
現如今,在ATM惡意軟件領域我們觀察到了很多最新的變化,但最重要的一點不是和技術有關:ATM惡意軟件已經成為地下網絡犯罪論壇的一個共同而顯著的特徵,它已經是攻擊者用來竊取現金的武器庫的一部分。ATM惡意軟件已經成為一種普通的商品,任何一個投資1000美元的罪犯都可以立即開始攻擊ATM。
值得注意的是,這些惡意軟件來自講俄語的銷售商。這當然並不代表南美黑客組織已經停止攻擊ATM,而是表示俄羅斯的黑客組織擁有一個更加活躍、繁榮的非法市場,那裡的惡意軟件需求旺盛。
ATM惡意軟件101:犯罪建議和在線幫助
當你購買網絡犯罪產品時,不僅僅會得到惡意軟件,通常,這些軟件的銷售商還會提供使用指導、建議和故障排除指南。
舉個例子,最廣為人知的ATM惡意軟件之一,Cutlet Maker,詳細描述了成功攻擊所需的硬件,以及程序的詳細使用說明。
Cutlet Maker軟件的主要一部分:對ATM品牌和型號的描述,以及攻擊它所需的設備
除了通用的“用戶手冊”外,賣家還分享了關於如何在不同環境下進行軟件故障排除的建議。以下是本指南引言的翻譯:
“原始手冊和第二個手冊概述了軟件工作所需的所有條件。Tav真的擁有一切。而在這本手冊中,我將介紹如何克服有可能出現的困難,這充分結合了我自己的經驗。”
我們無法確定這段話中的“Tav”是指惡意軟件還是手冊的編寫者,亦或是該惡意軟件的內部名稱。這份文檔將手冊的作者標識為“Bogdan”。
上圖是Cutlet Maker故障排除指南的屏幕截圖。作者介紹了ATM機的USB端口位置,以及如何設計一個連接USB電纜和訪問內部USB端口的工具。
這份指南還詳細描述了ATM機器的內外部細節。以下是賣家建議的翻譯:
“我們需要的端口位於ATM上方塑料蓋的後面,緊貼其後的往往是銀行的廣告紙。這個蓋子通過三點固定,它們分別位於塑料蓋的左上側、中間和右側。輕輕地撬動工具,避免蓋子破裂,然後將其放在ATM的頂部。接下來我們拿出一個手電筒往裡照,可以看到了以下畫面:”
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口以及它們是如何與特定的銀行應用交互的。
此後,我們與Europol的歐洲網絡犯罪中心(EC3)合作,向公眾宣傳了針對ATM的不同種類的網絡威脅以及發展趨勢。接下來我們不停針對ATM所面對的威脅發出自己的聲音,並寫了一篇文章詳細介紹多年來出現的ATM惡意軟件家族。
相關研究:針對ATM的惡意軟件:全面瞭解各種攻擊類型
現如今,在ATM惡意軟件領域我們觀察到了很多最新的變化,但最重要的一點不是和技術有關:ATM惡意軟件已經成為地下網絡犯罪論壇的一個共同而顯著的特徵,它已經是攻擊者用來竊取現金的武器庫的一部分。ATM惡意軟件已經成為一種普通的商品,任何一個投資1000美元的罪犯都可以立即開始攻擊ATM。
值得注意的是,這些惡意軟件來自講俄語的銷售商。這當然並不代表南美黑客組織已經停止攻擊ATM,而是表示俄羅斯的黑客組織擁有一個更加活躍、繁榮的非法市場,那裡的惡意軟件需求旺盛。
ATM惡意軟件101:犯罪建議和在線幫助
當你購買網絡犯罪產品時,不僅僅會得到惡意軟件,通常,這些軟件的銷售商還會提供使用指導、建議和故障排除指南。
舉個例子,最廣為人知的ATM惡意軟件之一,Cutlet Maker,詳細描述了成功攻擊所需的硬件,以及程序的詳細使用說明。
Cutlet Maker軟件的主要一部分:對ATM品牌和型號的描述,以及攻擊它所需的設備
除了通用的“用戶手冊”外,賣家還分享了關於如何在不同環境下進行軟件故障排除的建議。以下是本指南引言的翻譯:
“原始手冊和第二個手冊概述了軟件工作所需的所有條件。Tav真的擁有一切。而在這本手冊中,我將介紹如何克服有可能出現的困難,這充分結合了我自己的經驗。”
我們無法確定這段話中的“Tav”是指惡意軟件還是手冊的編寫者,亦或是該惡意軟件的內部名稱。這份文檔將手冊的作者標識為“Bogdan”。
上圖是Cutlet Maker故障排除指南的屏幕截圖。作者介紹了ATM機的USB端口位置,以及如何設計一個連接USB電纜和訪問內部USB端口的工具。
這份指南還詳細描述了ATM機器的內外部細節。以下是賣家建議的翻譯:
“我們需要的端口位於ATM上方塑料蓋的後面,緊貼其後的往往是銀行的廣告紙。這個蓋子通過三點固定,它們分別位於塑料蓋的左上側、中間和右側。輕輕地撬動工具,避免蓋子破裂,然後將其放在ATM的頂部。接下來我們拿出一個手電筒往裡照,可以看到了以下畫面:”
以上圖片描述了一旦移除內部USB端口的面板,攻擊者將看到什麼。賣家還提供了一些使用手機的建議,以躲避執法部門的追蹤。
除此教他人如何物理攻擊ATM,賣家還會提供一些軟件技術支持。例如,如果目標計算機受防病毒程序保護,如何禁用已安裝的安全軟件。
“就像禁用Adobe服務一樣。我們先進入任務管理器的“Startup”選項卡,取消其開機運行。然後進入防病毒軟件文件夾c:/program…/our antivirus/,將.exe的名稱更改為任何其他名稱。
你現在已關閉防病毒軟件,可以從閃存中運行惡意軟件了。”
以上這種方法是一種很簡單的方法,不適用於更先進的ATM安全解決方案。但是,並不是所有的ATM都使用了最新的安全方案。
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口以及它們是如何與特定的銀行應用交互的。
此後,我們與Europol的歐洲網絡犯罪中心(EC3)合作,向公眾宣傳了針對ATM的不同種類的網絡威脅以及發展趨勢。接下來我們不停針對ATM所面對的威脅發出自己的聲音,並寫了一篇文章詳細介紹多年來出現的ATM惡意軟件家族。
相關研究:針對ATM的惡意軟件:全面瞭解各種攻擊類型
現如今,在ATM惡意軟件領域我們觀察到了很多最新的變化,但最重要的一點不是和技術有關:ATM惡意軟件已經成為地下網絡犯罪論壇的一個共同而顯著的特徵,它已經是攻擊者用來竊取現金的武器庫的一部分。ATM惡意軟件已經成為一種普通的商品,任何一個投資1000美元的罪犯都可以立即開始攻擊ATM。
值得注意的是,這些惡意軟件來自講俄語的銷售商。這當然並不代表南美黑客組織已經停止攻擊ATM,而是表示俄羅斯的黑客組織擁有一個更加活躍、繁榮的非法市場,那裡的惡意軟件需求旺盛。
ATM惡意軟件101:犯罪建議和在線幫助
當你購買網絡犯罪產品時,不僅僅會得到惡意軟件,通常,這些軟件的銷售商還會提供使用指導、建議和故障排除指南。
舉個例子,最廣為人知的ATM惡意軟件之一,Cutlet Maker,詳細描述了成功攻擊所需的硬件,以及程序的詳細使用說明。
Cutlet Maker軟件的主要一部分:對ATM品牌和型號的描述,以及攻擊它所需的設備
除了通用的“用戶手冊”外,賣家還分享了關於如何在不同環境下進行軟件故障排除的建議。以下是本指南引言的翻譯:
“原始手冊和第二個手冊概述了軟件工作所需的所有條件。Tav真的擁有一切。而在這本手冊中,我將介紹如何克服有可能出現的困難,這充分結合了我自己的經驗。”
我們無法確定這段話中的“Tav”是指惡意軟件還是手冊的編寫者,亦或是該惡意軟件的內部名稱。這份文檔將手冊的作者標識為“Bogdan”。
上圖是Cutlet Maker故障排除指南的屏幕截圖。作者介紹了ATM機的USB端口位置,以及如何設計一個連接USB電纜和訪問內部USB端口的工具。
這份指南還詳細描述了ATM機器的內外部細節。以下是賣家建議的翻譯:
“我們需要的端口位於ATM上方塑料蓋的後面,緊貼其後的往往是銀行的廣告紙。這個蓋子通過三點固定,它們分別位於塑料蓋的左上側、中間和右側。輕輕地撬動工具,避免蓋子破裂,然後將其放在ATM的頂部。接下來我們拿出一個手電筒往裡照,可以看到了以下畫面:”
以上圖片描述了一旦移除內部USB端口的面板,攻擊者將看到什麼。賣家還提供了一些使用手機的建議,以躲避執法部門的追蹤。
除此教他人如何物理攻擊ATM,賣家還會提供一些軟件技術支持。例如,如果目標計算機受防病毒程序保護,如何禁用已安裝的安全軟件。
“就像禁用Adobe服務一樣。我們先進入任務管理器的“Startup”選項卡,取消其開機運行。然後進入防病毒軟件文件夾c:/program…/our antivirus/,將.exe的名稱更改為任何其他名稱。
你現在已關閉防病毒軟件,可以從閃存中運行惡意軟件了。”
以上這種方法是一種很簡單的方法,不適用於更先進的ATM安全解決方案。但是,並不是所有的ATM都使用了最新的安全方案。
上圖主要說明如何禁用防病毒程序。
案例研究:ATM惡意軟件經銷商
ATM惡意軟件正在成為地下犯罪論壇中的常見產品,它也不再是以前那種奇特或小眾的東西了。一個賣家甚至可以提供了多個種類的ATM惡意軟件。這些賣家也不是惡意軟件的作者,他們基本上都是經銷商,從銷售中提成的。
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口以及它們是如何與特定的銀行應用交互的。
此後,我們與Europol的歐洲網絡犯罪中心(EC3)合作,向公眾宣傳了針對ATM的不同種類的網絡威脅以及發展趨勢。接下來我們不停針對ATM所面對的威脅發出自己的聲音,並寫了一篇文章詳細介紹多年來出現的ATM惡意軟件家族。
相關研究:針對ATM的惡意軟件:全面瞭解各種攻擊類型
現如今,在ATM惡意軟件領域我們觀察到了很多最新的變化,但最重要的一點不是和技術有關:ATM惡意軟件已經成為地下網絡犯罪論壇的一個共同而顯著的特徵,它已經是攻擊者用來竊取現金的武器庫的一部分。ATM惡意軟件已經成為一種普通的商品,任何一個投資1000美元的罪犯都可以立即開始攻擊ATM。
值得注意的是,這些惡意軟件來自講俄語的銷售商。這當然並不代表南美黑客組織已經停止攻擊ATM,而是表示俄羅斯的黑客組織擁有一個更加活躍、繁榮的非法市場,那裡的惡意軟件需求旺盛。
ATM惡意軟件101:犯罪建議和在線幫助
當你購買網絡犯罪產品時,不僅僅會得到惡意軟件,通常,這些軟件的銷售商還會提供使用指導、建議和故障排除指南。
舉個例子,最廣為人知的ATM惡意軟件之一,Cutlet Maker,詳細描述了成功攻擊所需的硬件,以及程序的詳細使用說明。
Cutlet Maker軟件的主要一部分:對ATM品牌和型號的描述,以及攻擊它所需的設備
除了通用的“用戶手冊”外,賣家還分享了關於如何在不同環境下進行軟件故障排除的建議。以下是本指南引言的翻譯:
“原始手冊和第二個手冊概述了軟件工作所需的所有條件。Tav真的擁有一切。而在這本手冊中,我將介紹如何克服有可能出現的困難,這充分結合了我自己的經驗。”
我們無法確定這段話中的“Tav”是指惡意軟件還是手冊的編寫者,亦或是該惡意軟件的內部名稱。這份文檔將手冊的作者標識為“Bogdan”。
上圖是Cutlet Maker故障排除指南的屏幕截圖。作者介紹了ATM機的USB端口位置,以及如何設計一個連接USB電纜和訪問內部USB端口的工具。
這份指南還詳細描述了ATM機器的內外部細節。以下是賣家建議的翻譯:
“我們需要的端口位於ATM上方塑料蓋的後面,緊貼其後的往往是銀行的廣告紙。這個蓋子通過三點固定,它們分別位於塑料蓋的左上側、中間和右側。輕輕地撬動工具,避免蓋子破裂,然後將其放在ATM的頂部。接下來我們拿出一個手電筒往裡照,可以看到了以下畫面:”
以上圖片描述了一旦移除內部USB端口的面板,攻擊者將看到什麼。賣家還提供了一些使用手機的建議,以躲避執法部門的追蹤。
除此教他人如何物理攻擊ATM,賣家還會提供一些軟件技術支持。例如,如果目標計算機受防病毒程序保護,如何禁用已安裝的安全軟件。
“就像禁用Adobe服務一樣。我們先進入任務管理器的“Startup”選項卡,取消其開機運行。然後進入防病毒軟件文件夾c:/program…/our antivirus/,將.exe的名稱更改為任何其他名稱。
你現在已關閉防病毒軟件,可以從閃存中運行惡意軟件了。”
以上這種方法是一種很簡單的方法,不適用於更先進的ATM安全解決方案。但是,並不是所有的ATM都使用了最新的安全方案。
上圖主要說明如何禁用防病毒程序。
案例研究:ATM惡意軟件經銷商
ATM惡意軟件正在成為地下犯罪論壇中的常見產品,它也不再是以前那種奇特或小眾的東西了。一個賣家甚至可以提供了多個種類的ATM惡意軟件。這些賣家也不是惡意軟件的作者,他們基本上都是經銷商,從銷售中提成的。
上圖為一個地下犯罪論壇的惡意軟件列表。
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口
當趨勢科技在2015年開始分析地下市場的惡意樣本時,發現ATM相關的惡意軟件並不常見。在當時,南美洲和俄羅斯的一些犯罪團伙集中研究了ATM機器的工作原理,並製作了專門的軟件來攻擊它們,此事名噪一時。ATM機器和我們一般使用的Windows環境有很大的不同,攻擊者需要了解很多特殊的API接口以及它們是如何與特定的銀行應用交互的。
此後,我們與Europol的歐洲網絡犯罪中心(EC3)合作,向公眾宣傳了針對ATM的不同種類的網絡威脅以及發展趨勢。接下來我們不停針對ATM所面對的威脅發出自己的聲音,並寫了一篇文章詳細介紹多年來出現的ATM惡意軟件家族。
相關研究:針對ATM的惡意軟件:全面瞭解各種攻擊類型
現如今,在ATM惡意軟件領域我們觀察到了很多最新的變化,但最重要的一點不是和技術有關:ATM惡意軟件已經成為地下網絡犯罪論壇的一個共同而顯著的特徵,它已經是攻擊者用來竊取現金的武器庫的一部分。ATM惡意軟件已經成為一種普通的商品,任何一個投資1000美元的罪犯都可以立即開始攻擊ATM。
值得注意的是,這些惡意軟件來自講俄語的銷售商。這當然並不代表南美黑客組織已經停止攻擊ATM,而是表示俄羅斯的黑客組織擁有一個更加活躍、繁榮的非法市場,那裡的惡意軟件需求旺盛。
ATM惡意軟件101:犯罪建議和在線幫助
當你購買網絡犯罪產品時,不僅僅會得到惡意軟件,通常,這些軟件的銷售商還會提供使用指導、建議和故障排除指南。
舉個例子,最廣為人知的ATM惡意軟件之一,Cutlet Maker,詳細描述了成功攻擊所需的硬件,以及程序的詳細使用說明。
Cutlet Maker軟件的主要一部分:對ATM品牌和型號的描述,以及攻擊它所需的設備
除了通用的“用戶手冊”外,賣家還分享了關於如何在不同環境下進行軟件故障排除的建議。以下是本指南引言的翻譯:
“原始手冊和第二個手冊概述了軟件工作所需的所有條件。Tav真的擁有一切。而在這本手冊中,我將介紹如何克服有可能出現的困難,這充分結合了我自己的經驗。”
我們無法確定這段話中的“Tav”是指惡意軟件還是手冊的編寫者,亦或是該惡意軟件的內部名稱。這份文檔將手冊的作者標識為“Bogdan”。
上圖是Cutlet Maker故障排除指南的屏幕截圖。作者介紹了ATM機的USB端口位置,以及如何設計一個連接USB電纜和訪問內部USB端口的工具。
這份指南還詳細描述了ATM機器的內外部細節。以下是賣家建議的翻譯:
“我們需要的端口位於ATM上方塑料蓋的後面,緊貼其後的往往是銀行的廣告紙。這個蓋子通過三點固定,它們分別位於塑料蓋的左上側、中間和右側。輕輕地撬動工具,避免蓋子破裂,然後將其放在ATM的頂部。接下來我們拿出一個手電筒往裡照,可以看到了以下畫面:”
以上圖片描述了一旦移除內部USB端口的面板,攻擊者將看到什麼。賣家還提供了一些使用手機的建議,以躲避執法部門的追蹤。
除此教他人如何物理攻擊ATM,賣家還會提供一些軟件技術支持。例如,如果目標計算機受防病毒程序保護,如何禁用已安裝的安全軟件。
“就像禁用Adobe服務一樣。我們先進入任務管理器的“Startup”選項卡,取消其開機運行。然後進入防病毒軟件文件夾c:/program…/our antivirus/,將.exe的名稱更改為任何其他名稱。
你現在已關閉防病毒軟件,可以從閃存中運行惡意軟件了。”
以上這種方法是一種很簡單的方法,不適用於更先進的ATM安全解決方案。但是,並不是所有的ATM都使用了最新的安全方案。
上圖主要說明如何禁用防病毒程序。
案例研究:ATM惡意軟件經銷商
ATM惡意軟件正在成為地下犯罪論壇中的常見產品,它也不再是以前那種奇特或小眾的東西了。一個賣家甚至可以提供了多個種類的ATM惡意軟件。這些賣家也不是惡意軟件的作者,他們基本上都是經銷商,從銷售中提成的。
上圖為一個地下犯罪論壇的惡意軟件列表。
以上為三個地下犯罪論壇的軟件列表,顯示同一賣家提供了不同種類的ATM惡意軟件。
在瀏覽這些犯罪論壇時,我們注意到了一個專門出售ATM惡意軟件的經銷商,我們決定仔細查看用戶的個人資料。M_xxxxx發佈了多個帖子,在論壇上兜售許多不同種類的ATM惡意軟件。
根據其買家和其他論壇用戶的評論,這個用戶似乎不是這些軟件的原始作者,只是個經銷商。這個人在多個帖子中表示:“我以更低的價格銷售相同的軟件”。此外,此人還有視頻說明,演示惡意軟件的工作原理,視頻發佈在網站Darkvideo上。不過,也有其他論壇用戶指責這個賣家銷售的軟件無效。他旁註中的俄語像是用機器翻譯的,這意味著他的母語不是俄羅斯語。
M_xxxxx的各種ATM惡意軟件的價格如下:
Winpot——1000美元
HelloWorld——1000美元
Annuit Coeptis——500美元
Alice——300美元
Cutlet Maker——200美元
ATM惡意軟件或將影響銀行安全
在過去兩年中,地下犯罪論壇中提供的ATM惡意軟件數量顯著增加。這種類型的惡意軟件過去只專屬於知名犯罪團伙,現在正成為一種主流工具,很多人都有購買意向。總而言之,任何有幾百美元的犯罪分子都可以攻擊ATM了。
有些惡意軟件純粹是騙局,但另外一些似乎能正常攻擊。事實上,我們已經看到不少買家的好評,特別是一些知名的惡意軟件,更是廣受歡迎。這讓人想起銀行木馬的那段“群雄逐鹿”的時代。
雖然不少針對ATM的攻擊手段還很低級,但不幸的是,這個世界還存在很多無保護的ATM機,可能只有發生大規模的ATM攻擊,這種情況才會逐漸改善。
請記住,隨著時間推移,那些未受保護的ATM遭受攻擊的風險會瘋狂增加。
本文由白帽彙整理並翻譯,不代表白帽匯任何觀點和立場:https://nosec.org/home/detail/2740.html
來源:https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/crimeware-for-sale-the-commoditization-of