WinPot:老虎機一樣的ATM惡意程式

自動化的技術為現代人帶來更快捷、更方便的生活,儘管攻擊自動提款機 (ATM) 是非常特別的工作,仍然有部份網絡罪犯付出大量努力,令工作變得自動化。在去年 3 月卡巴斯基實驗室就找到了一個簡單而有效的樣本「WinPot」,令常見 ATM 生產商的產品自動味出所有鈔票。

界面像老虎機的惡意程式
網絡罪犯在製作惡意程式界面時,明顯花了一點時間在界面設計方面,造成像老虎機相似,功能是把 ATM 內的鈔票清空,這種行為又被稱為 ATM-jackpotting。在 WinPot 界面中每個鈔票箱都有一個由數字 1 至 4 的捲軸 (4 代表吐出的鈔票最多),下方則有「SPIN」按鍵,ATM 會自動依照相應的鈔票箱吐出鈔票,而吐鈔的過程中「SPIN」鍵會變成灰色,界面中還會顯示在錢箱內的鈔票面額和數量,還設有掃瞄鍵讓黑客重新掃瞄錢箱的最新狀態,而「STOP」鍵則停止吐出鈔票的動作。

持續推出新版本
直至去年夏天,有多個新樣本湧現,例如轉換封包 (Yoda、UPX) 或惡意程式的工作期限 (例如:在 3 月期間),如果系統時間並非在預設時段,WinPot 靜靜地停止運作而不會顯示它的界面。WinPot 和它的「前輩」Cutler Maker一樣,以 500 至 1000 美元的價錢在暗網上販賣。

其中一個賣家出售「WinPot v.3」並提供示範影片展示新惡意程式版本和本知的程式「ShowMeMoney」,外觀與機制都與 Cutlet Maker 相關的模擬器相似。

由於 ATM 惡意程式的本質,其核心功能不會有大轉變,但網絡罪犯也要面對不同的問題,所以不斷研發和修改:

  • 騙過 ATM 保安系統 (使用保護裝置或其他方法使新樣本獨一無二)
  • 克服 ATM 潛在限制 (例如每次吐鈔的上限)
  • 讓中間人持續為他們運送鈔票
  • 改善界面和修復錯誤的流程

卡巴斯基實驗室的專家預計,將會見到更多 WinPot 的修改,建議面對這類型的威脅應該採取裝置監控 (device control) 和白名單 (whitelisting) ,前者封鎖透過 USB 途徑植入惡意程式,後者防止裝置執行未准許的軟件,Kaspersky Embedded Systems Security 也能進一步提高類似裝置的保安等級。

資料來源:Securelist