ATMJackpot malware[RU]

Новая угроза направленная на банкоматы

К нам в лабораторию на анализ попал актуальный экземпляр вредоносного ПО, активно эксплуатируемый в реализации атак на ATM-ы. При помощи данного программного обеспечения злоумышленники получают возможность контролировать несанкционированную выдачу денег. Главным условием использования вируса является получение возможности загрузки и запуска на банкомате, обычно это достигается двумя различными способами:

  • использование физического доступа — когда злоумышленники получают доступ к портам ввода и посредством манипуляций загружают вредонос на каждый отдельный банкомат.
  • использование доступа — когда из внутренней сети банка, имея удаленный доступ, злоумышленники могут выполнить дистрибуцию вредоносного ПО сразу на всю сеть ATM или отдельные устройства, по своему выбору.

Данный вирус не отличается чем-то принципиально инновационным, его авторы собрали известные методики работы, усовершенствовали их и запустили продажу.

Проанализировав ряд ресурсов в Сети, мы обнаружили, что вирус доступен для покупки на одном из публичных сайтов, где были найдены скриншоты и контакты для связи с продавцом.

Скриншот с сайта автора

Мы решили пообщаться с продавцом и узнать немного больше информации о “продукте”. В процессе разговора выяснилось, что стоимость достаточно невелика в отличии от Cuttlet, который продавали в начале года по 5000$ за сборку (билд). Данный вирус продают по цене 2000$ за сборку и 5000$ за исходный код. Также мы выяснили, что работает он только с банкоматами производства компании «Wincor Nixdorf», поскольку вирус использует для взаимодействия с оборудованием библиотеку данного производителя (технические детали будут дальше). В ходе общения продавец предоставил доступ к видеозаписи, в которой происходит демонстрация работы вируса.

Видео с демонстрацией работы вируса у его автора на оборудовании(перезалито)

В дополнение ко всему автор рассказал, что вирус не детектится известными антивирусными производителями, и ничем не защищен от детекта и анализа. Но к нам в руки попала версия, которая была защищена простым протектором.


Получив «защищенную» версию вируса, мы взяли ее в работу, чтобы получить чистый бинарный файл, пригодный для дальнейших исследований. Защита была тривиальной, поэтому нам удалось быстро с ней справиться.

Собственно, сам алгоритм выдачи денег из банкомата до банального прост:

1. Создается окно, которое обеспечивает взаимодействие «пользователя» с вирусом, выводит информацию о купюр в каждой и кассете и их номиналы.

2. Происходит загрузка библиотеки «CSCWCNG» в адресное пространство процесса.

3. Происходит поиск адресов функций из библиотеки выше, позволяющие работать с диспенсером

Подготовка указателей на функции

4. Далее открывается устройство «диспенсер», и в цикле происходит выдача денежных средств из выбранной кассеты, партиями по 40 купюр.

Цикл выдачи с вызовом функции выдачи купюр

Резюмируя описанное выше, можно сказать что для того, чтобы написать вирус, реализующий логические атаки на банкоматы, не нужно обладать сверхквалификацией, достаточно быть образованным программистом и иметь желание заработать шальных денег. В силу того, что подобные атаки сейчас только набирают обороты, и в предыдущие годы не стали реально массовыми, производители ATM не утруждают себя заботой о безопасности собственных устройств и ПО, работающего на них. Следует добавить, что ОС, используемые на ATM, как правило уже не поддерживаются в контексте обновлений безопасности, что дает злоумышленникам дополнительные возможности для проникновения. К слову, автор был прав, и «чистый» бинарный файл без каких-либо защит имеет гораздо более низкий уровень обнаружения антивирусными продуктами, нежели «защищенный».

“Защищенная версия”
Распакованная версия

Маркеры компроментации:

packed sha256:c3a5c8e9195163cef8e0e70bd8f3d49c8048e37af7c969341e1753aee63df0ae

md5: e6c44150a0eea3f3ff3919953cfe3ff8

unpacked: sha256:d9c6515fd0fb3cd14b4bb4d11ecda78602d17f370780a4b9ee006a9830106213

md5: 19ed96914796770c7b86eaab0370c0e8

Ниже представлен наш репозиторий в который мы добавили правила для Yara, которые помогут в противодействии данному вирусу

https://github.com/pushret/YaraRules