2019-02-20 16:50:226746人阅读
现在各种自动化工具充斥在我们周围,极大的方便了我们的生活。虽然ATM欺诈是一种非特殊的攻击方式,但是一些网络犯罪分子花了很多精力来实现自动化。2018年3月,卡巴斯基实验室研究人员发现了一个名为WinPot的相当简单但却十分有效的恶意软件。它的创建是为了让一家受欢迎的ATM供应商自动分配ATM,以便从他们最有价值的磁带中自动分配所有现金。
WinPot界面示例
为了让它看起来像老虎机,犯罪分子明显在它上面花了不少时间。在WinPot的情况下,每个盒式磁带都有一个自己编号为1到4的卷轴(4是ATM中的最大取款盒数)和一个标有SPIN的按钮。一旦你按下旋转按钮(在这里它是灰色的,因为研究人员实际上是在分配现金),ATM开始从相应的盒式磁带分配现金。在SPIN按钮下面是有关于纸盒的信息(纸币值和纸盒中的纸币数量)。SCAN按钮重新扫描ATM并更新SLOT按钮下的数字,而STOP按钮则停止正在进行的取款操作。
研究人员认为WinPot是一个值得研究的ATM恶意软件系列,因此决定密切关注它。
随着时间的推移,出现了新的样本,每个样本都进行了少量修改。例如,打包器更改了(如Yoda和UPX)、时间段也更新了,在此期间恶意软件一直在运作。如果系统时间不在预设时间内,则WinPot将停止运行,其界面也不会显示出来。
研究人员发现的样本数量在2018年夏天出版的《欧洲欺诈更新》中也出现了。 “九个国家报告了ATM恶意软件和逻辑安全攻击。其中五个国家报告了与ATM相关的恶意软件。除了Cutlet Maker之外,还报道了一种名为WinPot的新变种……”
与Cutler Maker相同,WinPot也可在暗网上购买,价格从500到1000美元不等,具体视卖家而定。
其中一个卖家提供了WinPot v.3以及“新”恶意软件版本的演示视频以及标题为“ShowMeMoney”的程序。目前研究人员还未识别出该程序,它的外观和机制看起来与CutletMaker中的Stimulator非常相似。
演示视频中与Stimulator相似的未识别样本
演示视频中的Winpot v3样本
由于恶意软件的性质,其核心功能不会发生太大变化。但犯罪分子在实际操作过程中遇到了问题,因此他们对其做出了修改:
欺骗ATM安全系统(使用保护器或其他方法使每个样本都不一样);
克服潜在的ATM限制(如每次取款的最大限额);
想方设法防止钱骡滥用他们的恶意软件;
改进界面和错误处理例程。
因此,研究人员期望看到对现有ATM恶意软件的更多改进。保护ATM免受此类威胁的首选方法是在其上运行设备控制和处理白名单软件。前者将阻止将恶意软件直接植入ATM PC的USB路径,而后者将阻止在其上执行未经授权的软件。
本文转自mottoin,作者Gump,点击查看原文