В «Лаборатории Касперского» проанализировали новое вредоносное ПО для опустошения банкоматов, выставленное на продажу в даркнете.

Комплект программ Cutlet Maker был обнаружен на теневом рынке AlphaBay, ныне закрытом, 27 мая, где он продавался по цене 5 тыс. долларов США. При этом продавец предлагал не только сам продукт, ориентированный на банкоматы конкретного вендора, но также подробное руководство пользователя, с пошаговыми инструкциями и видеоматериалами. Расследование показало, что первый образец вредоносной программы Cutlet Maker был представлен на проверку на специализированный сервис из Украины еще в июне прошлого года, затем были поданы новые сэмплы из разных стран.

Тулкит Cutlet Maker устанавливается с USB-накопителя и состоит из трех компонентов: основного модуля, взаимодействующего с диспенсером банкомата, генератора паролей c0decalc для защиты от неавторизованного запуска зловреда и приложения Stimulator, определяющего содержимое каждой кассеты банкомата (валюту, количество купюр и их достоинство).

«Cutlet Maker не требует от злоумышленника почти никаких особых знаний или профессиональных компьютерных навыков, превращая взлом банкомата из сложной силовой кибероперации в еще один противозаконный способ заработка денег, доступный практически всем, у кого есть несколько тысяч долларов на покупку зловреда, — комментирует эксперт «Лаборатории Касперского» Константин Зыков. — Однако еще важнее то, что во время работы Cutlet Maker взаимодействует с программным и аппаратным обеспечением банкомата, практически не встречая никаких препятствий».

Применялся ли этот тулкит в реальных атаках, неясно, хотя видеоролики, предлагаемые продавцом, якобы демонстрируют его эффективность на живых примерах. О происхождении создателя Cutlet Maker можно только догадываться: по словам экспертов, формулировки мануала и допущенные в нем грамматические и стилистические ошибки говорят о том, что английский язык — не родной для вирусописателя.

Фрагмент мануала к Cutlet Maker

Примечательны также имя зловреда («Изготовитель котлет»; в русском языке есть жаргонное выражение «котлета», означающее «пачка денег») и названия некоторых кнопок управления: CHECK HEAT («проверить нагрев», выдается одна купюра из кассеты), start cooking! («начать готовку», выдается 50 пачек по 60 банкнот).

Защитные решения «Лаборатории Касперского детектируют Cutlet Maker как Backdoor.Win32.ATMletcut, Backdoor.Win32.ATMulator и Trojan.Win32.Agent.ikmo.

Чтобы оградить банкоматы от подобных зловредов, эксперты рекомендуют ввести строгие политики в отношении программ, не включенных в белые списки, ограничить подключение к банкоматам с неавторизованных устройств и использовать специализированную защиту.

На миниатюре представлен скриншот из блог-записи Зыкова на Securelist.com.

Категории: Аналитика, Вредоносные программы, Главное