周二,卡巴斯基实验室的网络安全团队探讨了WinPot的出现,这是一个ATM劫持恶意软件系列,于2018年3月首次出现在地下论坛中。
虽然其核心功能简单,但是由卡巴斯基内部命名为ATMPot的WinPot旨在危害一个未命名但受欢迎的供应商的ATM,并迫使这些机器清空所有资金的磁带。
恶意软件的界面是使包装异常的原因。花费时间用于使界面看起来像老虎机,这很可能是对“ATM累积奖金”的引用 - 这个术语用于描述ATM本身的危害。
该界面包括ATM盒式磁带的可视指示器。每个都有一个编号为1-4的卷轴,其中4个是典型ATM中的最大收银盒数。
按下标有“旋转”的按钮,开始分配现金。“停止”按钮切断了现金的喷出,而“扫描”则重置“游戏”并重新扫描机器以获取卡带和资金可用性。
黑暗网络中恶意软件的交易者最近宣传了WinPot v.3,其中还包括一个改进的界面和一个名为“ShowMeMoney”的当前未识别的程序,由于其类似的界面风格,它可能只是WinPot的新名称。
WinPot显示与Cutlet Maker的相似之处,这些恶意软件需要加载到闪存驱动器上并插入ATM中的USB端口,通过钻孔可访问。一旦加载,恶意代码就会破坏系统,同时模拟器会发现ATM磁带并模仿交易以迫使机器分配其可用资金。
2017年,Cutlet Maker在Dark Web上售价约为5,000美元。然而,现在价格已降至500美元至1,000美元之间,这与今天的WinPot买家相同。
虽然许多形式的ATM恶意软件具有相同的核心功能 - 鉴于现金分配器通常运行的相当基本,不复杂的系统 - 威胁参与者不断创新,以克服旨在缓慢改善ATM安全状况的障碍。
特别是,黑客正在研究如何克服允许每次分配多少笔记的硬编码限制;错误处理,以及欺骗ATM安全系统并防止检测到恶意软件毒株的手段。
“我们希望看到对现有ATM恶意软件的更多修改,”卡巴斯基说道。“保护ATM免受此类威胁的首选方法是在其上运行设备控制和处理白名单软件。前者将阻止将恶意软件直接植入ATM PC的USB路径,而后者将阻止在其上执行未经授权的软件。“
然而,确定的意愿总是找到利用ATM获取收益的方法。最近在一位软件工程主管的案例中强调了这一点,他发现了华夏银行核心操作系统的弱点,该系统在午夜创建了一个窗口,可以通过ATM进行未记录的提款。
在一年的时间里,工程师退出了大约100万美元。当他最终被捕时,软件开发人员表示,这笔钱只是在他的帐户中“休息”,并将被退回。