นักวิจัยจาก Kaspersky Lab พบ ATM มัลแวร์ตัวใหม่ชื่อว่า "WinPot" หรือ "ATMPot"

WinPot เป็น ATM มัลแวร์ พบครั้งแรกในเดือนมีนาคม 2018 บนเว็บไซต์ใต้ดิน มีการระบุเพียงว่ามีผลกระทบกับตู้ ATM ของบริษัทที่นิยมใช้งานในปัจจุบัน หน้าตาของมัลแวร์ตัวดังกล่าวถูกออกแบบมาให้คล้ายคลึงกับ slot machine โดยจะถูกแบ่งออกเป็น 4 ช่อง แต่ละช่องจะหมายถึง cash-out cassettes (กล่องสำหรับใส่ธนบัตรในตู้ ATM) ซึ่งแต่ละตู้จะมีได้สูงสุด 4 กล่อง โดยแต่ละช่องจะมีปุ่มที่ชื่อว่า "spin" เมื่อกดจะทำให้ตู้ ATM จ่ายเงินออกมา นอกจากนี้ยังมีปุ่ม "stop" สำหรับสั่งให้เครื่องหยุดจ่ายเงิน และปุ่ม "scan" สำหรับสั่งให้มัลแวร์ทำการ scan จำนวน cash-out cassettes และจำนวนธนบัตรที่เหลืออยู่ใหม่ ล่าสุดมีการพบมัลแวร์ WinPot ที่คาดว่าเป็นเวอร์ชั่นใหม่ (v.3) บนเว็บไซต์ใต้ดินที่มีชื่อเรียกว่า "ShowMeMoney" มัลแวร์มีการปรับปรุงหน้าตาการแสดงผลใหม่

ทั้งนี้เชื่อว่ามัลแวร์ "WinPot" น่าจะมีความเกี่ยวข้องกับ ATM มัลแวร์ที่มีชื่อว่า "Cutlet Maker" เป็น ATM มัลแวร์ที่พบว่าถูกติดตั้งบนเครื่อง ATM ผ่าน USB ถูกวางขายในราคา $5,000 บนเว็บไซต์ใต้ดินเมื่อปี 2017 อย่างไรก็ตามปัจจุบันราคาได้ลดลงไปอยู่ระหว่าง $500 - $1,000

Kaspersky แนะนำว่า วิธีการปกป้อง ATM จากภัยคุกคามประเภทนี้คือ ต้องมีการควบคุมให้เฉพาะอุปกรณ์และซอฟต์แวร์ที่ได้รับอนุญาตสามารถทำงานได้บนเครื่อง ATM เท่านั้น

ที่มา: zdnet

แฮกเกอร์มักจะทำการโจมตีช่องโหว่ของฮาร์ดแวร์และซอฟต์แวร์เพื่อเข้าเครื่อง ATM และทำให้เครื่องจ่ายเงินสดออกมา แต่ตอนนี้ใครๆ ก็สามารถทำได้ง่ายขึ้น เพียงแค่หาซื้อมัลแวร์จากตลาดใต้ดินก็สามารถขโมยเงินสดนับล้านจากตู้ ATM ได้

นักวิจัยจาก Kaspersky Lab เปิดเผยหลังจากพบโพสต์ฟอรัมในการโฆษณาขายมัลแวร์ชื่อว่า Cutlet Maker จากเว็บไซต์ใต้ดินในราคาประมาณ 5,000 ดอลลาร์ โพสต์ฟอรัมได้ให้คำอธิบายสั้น ๆ พร้อมรายละเอียดของชุดเครื่องมือของมัลแวร์ตัวนี้ ที่ออกแบบมาเพื่อโจมตีเป้าหมายซึ่งเป็นเครื่อง ATM รุ่นต่างๆ โดยการใช้ประโยชน์จาก API เฉพาะของ vendor จึงไม่จำเป็นต้องอาศัยผู้ใช้งาน และข้อมูลของผู้ใช้งาน ATM แต่อย่างไร จึงไม่ส่งผลกระทบต่อลูกค้าของธนาคารโดยตรง

ชุดเครื่องมือนี้ประกอบด้วย
- Cutlet Maker มัลแวร์ ATM เป็นองค์ประกอบหลักของชุดเครื่องมือ
- Stimulator แอพพลิเคชันที่รวบรวมสถานะเงินสดของตู้ ATM เป้าหมาย
- c0decalc แอพพลิเคชั่นในรูปแบบ terminal สำหรับสร้างรหัสผ่านให้มัลแวร์

นักวิจัยกล่าวว่าจำเป็นจะต้องนำชุดเครื่องมือดังกล่าวใส่ไว้ใน Flash Drive จากนั้นนำไปเสียบยังเครื่อง ATM ที่ต้องการ และสั่งรันมัลแวร์ดังกล่าว การทำงานของมัลแวร์จำเป็นจะต้องใช้อาศัยคนสองคนในการขโมยเงินจากระบบ ATM โดยบุคคลแรกจะถูกเรียกว่า "drop" และบุคคลที่สองจะถูกเรียกว่า "drop master" โดยคนแรกจะนำมัลแวร์ไปรันบนเครื่อง ATM ที่ต้องการ และจำเป็นจะต้องส่งข้อมูลไปให้แก่บุคคลที่สอง ซึ่งจำเป็นต้องนำข้อมูลดังกล่าวซึ่งเป็นตัวเลขไปใส่ใน c0decalc ซึ่งจะทำการสร้างรหัสเพื่อนำไปใช้ในขั้นตอนการรันมัลแวร์ เพื่อให้ ATM ทำการจ่ายเงินออกมา

ทั้งนี้พบว่ามัลแวร์ "Cutlet Maker" นี้ถูกเผยแพร่ครั้งแรกในเว็ปไซต์ AlphaBay ซึ่งได้ถูกปิดโดยเอฟบีไอไปก่อนหน้านี้ โดยตัวมัลแวร์ และส่วนของ Stimulator ถูกเขียนขึ้นมาด้วย Delphi และพบว่าถูกคอมไพล์เมื่อวันที่ 30 กรกฎาคม และวันที่ 16 กรกฎาคมปีที่แล้ว ตามลำดับ ส่วนตัว c0decalc ถูกเขียนขึ้นมาด้วย Visual C และพบว่าถูกคอมไพล์ตั้งแต่วันที่ 13 พฤศจิกายนปีที่แล้ว

ที่มา : The Hacker News