本文深入探讨了名为WinPot的自动化ATM劫持恶意软件,这种恶意软件通过自动化手段从指定的ATM实体机中非法获取现金。文章详细介绍了WinPot的功能、操作方式及更新策略,并讨论了其与CutletMaker的关系以及在暗网上的售价。
各种自动化可以帮助人们完成日常工作,使其更快更简单。
虽然入侵ATM是一种非常特殊的工作,但是一些网络犯罪分子花了很多精力来实现自动化。
在2018年3月,卡巴斯基安全研究员遇到了一个名为WinPot的相当简单但有效的恶意软件。
它的创建是为了让一家受欢迎的ATM供应商自动分配ATM,以便从他们最有价值的目标(也就是指定的ATM实体机)中自动获取所有现金。
这类软件统称为ATMPot。
该恶意软件程序图标为老虎机
(hash:821e593e80c598883433da88a5431e9d)
程序界面
犯罪分子显然花了一些时间在界面上,让它看起来像老虎机。
取名可能参考流行术语 ATM-jackpotting,它指的是用于清空ATM的技术。
WinPot的使用情况如下,每个装钱的盒子(下图那个样子,我也不知道中文应该叫啥,知道的可以指导一下)都有一个自己编号为1到4的卷轴(4是ATM中的最大取款盒数)和一个标有SPIN的按钮。
一旦你按下旋转按钮
(在我们的情况下它是灰色的,因为我们实际上是在分配现金),
ATM开始从相应的盒式磁带分配现金。开始旋转,发钱
SPIN按钮下面,有关于纸盒的信息(纸币值和纸盒中的纸币数量)。
SCAN按钮是为了重新扫描ATM并更新SLOT按钮下的数字
而STOP按钮则停止正在进行的分配。
以上为WinPot的大致功能。
经过持续监控,WinPot一直在更新样本,每个样本都进行了少量修改。例如,更改了加壳方法(如Yoda和UPX),或更新了恶意软件的运行的时间段,在此期间被设定为工作(例如,在3月期间)。
如果系统时间不在预设时间内,则WinPot将静默停止运行而不显示其界面。
也就是说,这玩意可能是会显示在指定的ATM触摸屏或者是某一台有权限连接ATM的设备上的,点一下就出钱。
而这类样本和在2018年夏天发布的欧洲欺诈(https://www.association-secure-transactions.eu/east-publishes-fraud-update-2-2018/)中存在关联。
它有几行关于WinPot:
“九个国家报告了ATM恶意软件和逻辑安全攻击。其中五个国家报告了与ATM相关的恶意软件。除了Cutlet Maker(用于ATM现金)之外,还报道了一种名为WinPot的新变种......“
与Cutler Maker相同,WinPot可在(暗)网上使用,价格约为500 - 1000美元,可谈。
(真贵)
其中一个卖家提供了WinPot v.3以及描述“新”恶意软件版本的演示视频以及带有标题“ShowMeMoney”的仍未识别的程序。
它的外观和机制看起来与CutletMaker故事中的Stimulator非常相似。
(https://securelist.com/atm-malware-is-being-sold-on-darknet-market/81871/)
在演示视频中,卖家提供了下面两款软件的界面展示
谜之功能
Winpot v3展示
由于这类恶意软件主要功能就是取钱,因此其核心功能不会发生太大变化。
但犯罪分子确实遇到了问题,因此他们进行了以下更新:
1、绕过ATM安全系统(使用加壳或其他方法使每个新样本独一无二)
2、克服潜在的ATM限制(如每次取得金额的最大值);
3、想方设法防止钱骡滥用他们的恶意软件;
(钱骡就是那些负责取钱的人,他们一般进行入侵和拿钱的都分为两波人,因此同样存在竞争关系)
可以看我下面这两篇,之前提到过
4、改进界面和bug。
因此,我们期望看到对现有ATM恶意软件的更多修改。
保护ATM免受此类威胁的首选方法是在其上运行设备控制和处理白名单软件。
前者将阻止将恶意软件直接植入ATM PC的USB路径,而后者将阻止在其上执行未经授权的软件。
**欢迎转发,谢谢各位大佬。
好看吗,不好看也点一个呗
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
