Dangerous Malware Allows Anyone to Empty ATMs – And It’s On Sale!

แฮกเกอร์มักจะทำการโจมตีช่องโหว่ของฮาร์ดแวร์และซอฟต์แวร์เพื่อเข้าเครื่อง ATM และทำให้เครื่องจ่ายเงินสดออกมา แต่ตอนนี้ใครๆ ก็สามารถทำได้ง่ายขึ้น เพียงแค่หาซื้อมัลแวร์จากตลาดใต้ดินก็สามารถขโมยเงินสดนับล้านจากตู้ ATM ได้

นักวิจัยจาก Kaspersky Lab เปิดเผยหลังจากพบโพสต์ฟอรัมในการโฆษณาขายมัลแวร์ชื่อว่า Cutlet Maker จากเว็บไซต์ใต้ดินในราคาประมาณ 5,000 ดอลลาร์ โพสต์ฟอรัมได้ให้คำอธิบายสั้น ๆ พร้อมรายละเอียดของชุดเครื่องมือของมัลแวร์ตัวนี้ ที่ออกแบบมาเพื่อโจมตีเป้าหมายซึ่งเป็นเครื่อง ATM รุ่นต่างๆ โดยการใช้ประโยชน์จาก API เฉพาะของ vendor จึงไม่จำเป็นต้องอาศัยผู้ใช้งาน และข้อมูลของผู้ใช้งาน ATM แต่อย่างไร จึงไม่ส่งผลกระทบต่อลูกค้าของธนาคารโดยตรง

ชุดเครื่องมือนี้ประกอบด้วย
- Cutlet Maker มัลแวร์ ATM เป็นองค์ประกอบหลักของชุดเครื่องมือ
- Stimulator แอพพลิเคชันที่รวบรวมสถานะเงินสดของตู้ ATM เป้าหมาย
- c0decalc แอพพลิเคชั่นในรูปแบบ terminal สำหรับสร้างรหัสผ่านให้มัลแวร์

นักวิจัยกล่าวว่าจำเป็นจะต้องนำชุดเครื่องมือดังกล่าวใส่ไว้ใน Flash Drive จากนั้นนำไปเสียบยังเครื่อง ATM ที่ต้องการ และสั่งรันมัลแวร์ดังกล่าว การทำงานของมัลแวร์จำเป็นจะต้องใช้อาศัยคนสองคนในการขโมยเงินจากระบบ ATM โดยบุคคลแรกจะถูกเรียกว่า "drop" และบุคคลที่สองจะถูกเรียกว่า "drop master" โดยคนแรกจะนำมัลแวร์ไปรันบนเครื่อง ATM ที่ต้องการ และจำเป็นจะต้องส่งข้อมูลไปให้แก่บุคคลที่สอง ซึ่งจำเป็นต้องนำข้อมูลดังกล่าวซึ่งเป็นตัวเลขไปใส่ใน c0decalc ซึ่งจะทำการสร้างรหัสเพื่อนำไปใช้ในขั้นตอนการรันมัลแวร์ เพื่อให้ ATM ทำการจ่ายเงินออกมา

ทั้งนี้พบว่ามัลแวร์ "Cutlet Maker" นี้ถูกเผยแพร่ครั้งแรกในเว็ปไซต์ AlphaBay ซึ่งได้ถูกปิดโดยเอฟบีไอไปก่อนหน้านี้ โดยตัวมัลแวร์ และส่วนของ Stimulator ถูกเขียนขึ้นมาด้วย Delphi และพบว่าถูกคอมไพล์เมื่อวันที่ 30 กรกฎาคม และวันที่ 16 กรกฎาคมปีที่แล้ว ตามลำดับ ส่วนตัว c0decalc ถูกเขียนขึ้นมาด้วย Visual C และพบว่าถูกคอมไพล์ตั้งแต่วันที่ 13 พฤศจิกายนปีที่แล้ว

ที่มา : The Hacker News