暗网：ATM攻击软件的商品化

当趋势科技在2015年开始分析地下市场的恶意样本时，发现ATM相关的恶意软件并不常见。在当时，南美洲和俄罗斯的一些犯罪团伙集中研究了ATM机器的工作原理，并制作了专门的软件来攻击它们，此事名噪一时。ATM机器和我们一般使用的Windows环境有很大的不同，攻击者需要了解很多特殊的API接口以及它们是如何与特定的银行应用交互的。

此后，我们与Europol的欧洲网络犯罪中心（EC3）合作，向公众宣传了针对ATM的不同种类的网络威胁以及发展趋势。接下来我们不停针对ATM所面对的威胁发出自己的声音，并写了一篇文章详细介绍多年来出现的ATM恶意软件家族。

相关研究：针对ATM的恶意软件：全面了解各种攻击类型

现如今，在ATM恶意软件领域我们观察到了很多最新的变化，但最重要的一点不是和技术有关：ATM恶意软件已经成为地下网络犯罪论坛的一个共同而显著的特征，它已经是攻击者用来窃取现金的武器库的一部分。ATM恶意软件已经成为一种普通的商品，任何一个投资1000美元的罪犯都可以立即开始攻击ATM。

值得注意的是，这些恶意软件来自讲俄语的销售商。这当然并不代表南美黑客组织已经停止攻击ATM，而是表示俄罗斯的黑客组织拥有一个更加活跃、繁荣的非法市场，那里的恶意软件需求旺盛。

ATM恶意软件101：犯罪建议和在线帮助

当你购买网络犯罪产品时，不仅仅会得到恶意软件，通常，这些软件的销售商还会提供使用指导、建议和故障排除指南。

举个例子，最广为人知的ATM恶意软件之一，Cutlet Maker，详细描述了成功攻击所需的硬件，以及程序的详细使用说明。

Cutlet Maker软件的主要一部分：对ATM品牌和型号的描述，以及攻击它所需的设备

除了通用的“用户手册”外，卖家还分享了关于如何在不同环境下进行软件故障排除的建议。以下是本指南引言的翻译：

“原始手册和第二个手册概述了软件工作所需的所有条件。Tav真的拥有一切。而在这本手册中，我将介绍如何克服有可能出现的困难，这充分结合了我自己的经验。”

我们无法确定这段话中的“Tav”是指恶意软件还是手册的编写者，亦或是该恶意软件的内部名称。这份文档将手册的作者标识为“Bogdan”。

上图是Cutlet Maker故障排除指南的屏幕截图。作者介绍了ATM机的USB端口位置，以及如何设计一个连接USB电缆和访问内部USB端口的工具。

这份指南还详细描述了ATM机器的内外部细节。以下是卖家建议的翻译：

“我们需要的端口位于ATM上方塑料盖的后面，紧贴其后的往往是银行的广告纸。这个盖子通过三点固定，它们分别位于塑料盖的左上侧、中间和右侧。轻轻地撬动工具，避免盖子破裂，然后将其放在ATM的顶部。接下来我们拿出一个手电筒往里照，可以看到了以下画面：”

以上图片描述了一旦移除内部USB端口的面板，攻击者将看到什么。卖家还提供了一些使用手机的建议，以躲避执法部门的追踪。

除此教他人如何物理攻击ATM，卖家还会提供一些软件技术支持。例如，如果目标计算机受防病毒程序保护，如何禁用已安装的安全软件。

“就像禁用Adobe服务一样。我们先进入任务管理器的“Startup”选项卡，取消其开机运行。然后进入防病毒软件文件夹c:/program…/our antivirus/，将.exe的名称更改为任何其他名称。

你现在已关闭防病毒软件，可以从闪存中运行恶意软件了。”

以上这种方法是一种很简单的方法，不适用于更先进的ATM安全解决方案。但是，并不是所有的ATM都使用了最新的安全方案。

上图主要说明如何禁用防病毒程序。

案例研究：ATM恶意软件经销商

ATM恶意软件正在成为地下犯罪论坛中的常见产品，它也不再是以前那种奇特或小众的东西了。一个卖家甚至可以提供了多个种类的ATM恶意软件。这些卖家也不是恶意软件的作者，他们基本上都是经销商，从销售中提成的。

上图为一个地下犯罪论坛的恶意软件列表。

以上为三个地下犯罪论坛的软件列表，显示同一卖家提供了不同种类的ATM恶意软件。

在浏览这些犯罪论坛时，我们注意到了一个专门出售ATM恶意软件的经销商，我们决定仔细查看用户的个人资料。M_xxxxx发布了多个帖子，在论坛上兜售许多不同种类的ATM恶意软件。

根据其买家和其他论坛用户的评论，这个用户似乎不是这些软件的原始作者，只是个经销商。这个人在多个帖子中表示：“我以更低的价格销售相同的软件”。此外，此人还有视频说明，演示恶意软件的工作原理，视频发布在网站Darkvideo上。不过，也有其他论坛用户指责这个卖家销售的软件无效。他旁注中的俄语像是用机器翻译的，这意味着他的母语不是俄罗斯语。

M_xxxxx的各种ATM恶意软件的价格如下：

Winpot——1000美元

HelloWorld——1000美元

Annuit Coeptis——500美元

Alice——300美元

Cutlet Maker——200美元

ATM恶意软件或将影响银行安全

在过去两年中，地下犯罪论坛中提供的ATM恶意软件数量显著增加。这种类型的恶意软件过去只专属于知名犯罪团伙，现在正成为一种主流工具，很多人都有购买意向。总而言之，任何有几百美元的犯罪分子都可以攻击ATM了。

有些恶意软件纯粹是骗局，但另外一些似乎能正常攻击。事实上，我们已经看到不少买家的好评，特别是一些知名的恶意软件，更是广受欢迎。这让人想起银行木马的那段“群雄逐鹿”的时代。

虽然不少针对ATM的攻击手段还很低级，但不幸的是，这个世界还存在很多无保护的ATM机，可能只有发生大规模的ATM攻击，这种情况才会逐渐改善。

请记住，随着时间推移，那些未受保护的ATM遭受攻击的风险会疯狂增加。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/crimeware-for-sale-the-commoditization-of-atm-malware-in-the-cybercriminal-underground?utm_source=trendmicroresearch&utm_medium=smk&utm_campaign=0619_atm