Los delincuentes Wannabe pueden comprar un malware ATM en un mercado Darknet por alrededor de $ 5000, el descubrimiento fue realizado por investigadores de Kaspersky Lab que notaron una publicación en un foro publicitando el código malicioso denominado Cutlet Maker.
“En mayo de 2017, los investigadores de Kaspersky Lab descubrieron un foro que publicaba malware dirigido a cajeros automáticos específicos. El foro contenía una breve descripción de un kit de crimeware diseñado para vaciar cajeros automáticos con la ayuda de una API específica del proveedor, sin interactuar con los usuarios de cajeros automáticos y sus datos”, afirma la publicación del blog publicada por Kaspersky Lab. “Los enlaces de la publicación de una oferta que inicialmente se publicó en el mercado de AlphaBay Darknet, que fue retirado recientemente por el FBI”. La publicación se propuso inicialmente en el mercado negro de AlphaBay que fue clausurado recientemente por la policía.
La publicación del foro incluye una descripción del malware y un manual detallado para el conjunto de herramientas de malware. El kit de crimeware fue diseñado para apuntar a varios modelos ATM de Wincor Nixdorf utilizando una API del proveedor, sin interactuar con los usuarios de ATM y sus datos.
El manual “Wall ATM Read Me.txt” probablemente fue escrito por un hablante ruso nativo con un inglés pobre, también menciona el malware ATM de Tyupkin utilizado para llevar a cabo ataques de Jackpotting en todo el mundo.
El manual proporciona una descripción detallada de todas las partes que componen el conjunto de herramientas y cómo usarlas. La lista de crimeware del kit consiste en malware CUTLET MAKER ATM, el elemento central, con un generador de contraseñas incluido y el estimulador que es una aplicación que se utiliza para reunir los estados de casetes en efectivo de un cajero automático objetivo.
Otro componente es el ‘c0decalc’ que es una simple aplicación basada en terminales sin ningún tipo de protección.
Los expertos notaron que el kit de crimeware está compuesto por programas probablemente desarrollados por diferentes autores.
La funcionalidad del malware Cutlet Maker sugiere que se supone que dos roles distintos están involucrados en el atraco cibernético, el “drop” y el “drop master”.
El equipo de ATMjackpot publicó cuatro videos que muestran cómo alguien puede obtener acceso al puerto USB de un cajero automático, conectar el hardware necesario, ejecutar el malware y hacer que el cajero automático escupa efectivo. Bleeping Computer ha cargado dos de los cuatro videos en YouTube, incrustados a continuación. Eliminamos el sonido de un video, ya que contenía una canción con derechos de autor.
“El acceso al mecanismo de dispensación de CUTLET MAKER está protegido por contraseña. Aunque podría haber una sola persona con la aplicación c0decalc necesaria para generar una contraseña”, dicen los investigadores.
“Se requiere la red o el acceso físico a un cajero automático para ingresar el código en el área de texto de la aplicación y también para interactuar con la interfaz de usuario”.
Los expertos concluyeron que los “delincuentes cibernéticos están utilizando bibliotecas legítimas y un pequeño código para distribuir dinero de un cajero automático”.
De acuerdo con Bleepingcomputer, los delincuentes lanzaron un nuevo sitio web llamado ATMjackpot y comenzaron a ofrecer el mismo malware ATM, incluyendo algunas modificaciones bajo demanda.
Los piratas informáticos ATMjackpot también publicaron cuatro videos que muestran cómo alguien puede obtener acceso al puerto USB de un cajero automático, conectar el hardware y ejecutar el malware para controlar la máquina.
El Cutlet Maker se ofrece actualmente en el sitio web ATMjackpot por $ 1,500 en Bitcoin.
“Cutlet Maker se vende actualmente en el portal ATMjackpot por $ 1,500 en Bitcoin, un precio que se duplicará a partir del segundo mes del comprador.” Informó Bleepingcomputer.com
“El precio de esta tarifa representa un crédito y un crédito es válido para retirar un cajero automático”.
