Alfonso Maruccia

Cutlet Maker, malware per ATM in vendita sulla darknet

Arriva dalla Russia, si vende a "crediti" e permette di svuotare un intero ATM del relativo contenuto in banconote. Commercializzato su Tor, il malware necessita del collegamento di una tastiera al sistema da attaccare

Cutlet Maker, malware per ATM in vendita sulla darknetRoma - Oltre agli attacchi eseguiti da remoto, gli ATM sono naturalmente vulnerabili anche a quelli condotti "in locale" - magari con l'ausilio di Tor, di una tastiera e di una chiavetta USB contenente i tool malevoli necessari a svuotare le cassette del rispettivo contenuto in banconote.

È così che in pratica funziona Cutlet Maker, un vero e proprio "crimeware" multi-componente che nei mesi scorsi era in vendita sul marketplace di AlphaBay accessibile nella darknet di Tor. AlphaBay è stato poi chiuso dopo l'intervento delle autorità, e i cyber-criminali si sono reinventati imprenditori proponendo una versione aggiornata del loro crimeware svuota-ATM.


La nuova release di Cutlet Maker risulta quindi in vendita su un servizio nascosto di Tor (con dominio Onion) chiamato ATMjackpot, e al costo "popolare" di 1.500 dollari dà diritto all'acquisizione di 1 "credito". Ogni credito permette di attaccare un solo ATM prodotto da Wincor Nixdorf, il che potrebbe essere più che sufficiente - dal punto di vista di un criminale da strada ancorché hi-tech - considerando che è possibile forzare la macchina a "sputare fuori" tutte le banconote presenti.
Come evidenziato dai video dimostrativi presenti sul sito ufficiale, Cutlet Maker è un attacco multi-stadio che va collegato fisicamente all'hardware informatico dell'ATM preso di mira: la chiavetta USB include i componenti necessari al funzionamento del tool, mentre la tastiera permette al "cliente" di caricare i suddetti componenti e di impartire i comandi del caso.


I file presenti sul drive USB corrispondono al malware vero e proprio (Cutlet Maker) e a Stimulator, un tool utile a valutare il contenuto in banconote di ciascuna delle cassette dell'ATM. Una volta caricato, Cutlet Maker visualizza un codice utile a "sbloccare" il credito acquistato in precedenza, operazione che va ovviamente fatta accedendo a Tor tramite smartphone o altro dispositivo portatile.


Il server nascosto risponderà al codice di Cutlet Maker con un altro codice, che una volta inserito sull'ATM darà accesso a tutte le funzionalità del malware. L'utilità principale di Cutlet Maker è ovviamente quella di forzare la distribuzione delle banconote, svuotando un intero caricatore dell'ATM o "limitandosi" a 60 banconote in 50 serie diverse.

Di Cutlet Maker parla un'analisi pubblicata di recente da Kaspersky, anche in questo caso se si tratta della versione precedente del malware quando era in vendita su AlphaBay. Kaspersky, tra l'altro, sottolinea la capacità del suo software Kaspersky Embedded Systems Security (KESS) di difendere da attacchi come quello in oggetto, ma anche KESS ha dimostrato di non essere affatto invulnerabile.

Alfonso Maruccia

fonte immagine
Notizie collegate
  • TecnologiaDarknet, AlphaBay chiude ed è il caosIn seguito ad un raid da parte delle forze dell'ordine il noto market place illegale sparisce dalla Darknet. Dei milioni depositati dagli utenti non se ne sa nulla e prima dell'estradizione di uno dei presunti fondatori viene diffusa la notizia del suo suicidio in un carcere tailandese
  • AttualitàTrend Micro: gli attacchi agli ATM arrivano da remotoGli attacchi contro gli ATM si fanno sempre più sofisticati, denuncia Trend Micro, e i cyber-criminali possono ora agire al riparo di una connessione di rete rubando dati e denaro degli utenti
12 Commenti alla Notizia Cutlet Maker, malware per ATM in vendita sulla darknet
Ordina
  • Quale condanna rischiano i gestori di questo server?

    Possono essere accusati di complicita' per ogni furto o rapina commessa, visto chiedono 1500 euro ogni volta?

    Cosa succede se sono sono di nazioni diverse?
    non+autenticato
  • - Scritto da: Curioso
    > Quale condanna rischiano i gestori di questo
    > server?

    Quale sarebbe il reato?

    > Possono essere accusati di complicita' per ogni
    > furto o rapina commessa, visto chiedono 1500 euro
    > ogni
    > volta?

    Anche l'armaiolo chiede 1500 euro per ogni fucile che vende.

    > Cosa succede se sono sono di nazioni diverse?

    Che dovranno cambiare gli euro nella valuta del loro paese.
  • Non so se un finto tecnico riuscirebbe veramente ad accedere all'ATM per iniettare il malware, però so che queste vulnerabilità alle banche fanno comodo così come i tentativi di scasso dei bombaroli. Si sta cercando di spostare i consumatori verso i pagamenti esclusivamente elettronici, non solo per profilarli, ma soprattutto perché ad ogni transazione incassano una percentuale.
    non+autenticato
  • - Scritto da: b0e9a638346
    > Non so se un finto tecnico riuscirebbe veramente
    > ad accedere all'ATM per iniettare il malware,
    eh? "finto tecnico"? guarda che questi sono vecchi cessi della windor nixdorf con un PC con xp..... con un coltello o un trapano fanno un buco sul case e infilano l'usb in bella vista.
    Nonostante sappiano (ormai trovi i man anche con google) sono a quanto pare lentissimi a sostituire le cose o anche solo a inibire totalmente l'usb e le porte

    > però so che queste vulnerabilità alle banche
    > fanno comodo così come i tentativi di scasso dei
    > bombaroli. Si sta cercando di spostare i
    > consumatori verso i pagamenti esclusivamente
    > elettronici, non solo per profilarli, ma
    > soprattutto perché ad ogni transazione incassano
    > una
    > percentuale.
    penso siano le stesse banche che sovvenzionano i rettiliani...
    non+autenticato
  • - Scritto da: bubba
    > guarda che questi sono
    > vecchi cessi della windor nixdorf

    ehm... Wincor Nixdorf.
    non+autenticato
  • - Scritto da: leguleio il preciso
    > - Scritto da: bubba
    > > guarda che questi sono
    > > vecchi cessi della windor nixdorf
    >
    > ehm... Wincor Nixdorf.
    yeah. cmq anche i vecchi diebold non sono messi bene.
    (e in effetti la diebold e la wincor si sono fuse...Con la lingua fuori )
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: b0e9a638346
    > > Non so se un finto tecnico riuscirebbe veramente
    > > ad accedere all'ATM per iniettare il malware,
    > eh? "finto tecnico"? guarda che questi sono
    > vecchi cessi della windor nixdorf con un PC con
    > xp..... con un coltello o un trapano fanno un
    > buco sul case e infilano l'usb in bella
    > vista.
    > ... sono a quanto pare lentissimi a
    > sostituire le cose ...

    La storia della porta USB facilmente raggiungibile è di quattro anni fa. Con una rapida ricerca su internet ho visto che rimpiazzare gli ATM non è questa spesa enorme, oltretutto negli ultimi due anni hanno ridotto il numero di ATM in strada, possibile che non riescano a sistemare il problema?

    https://www.howmuchisit.org/how-much-do-atm-machin.../


    > > soprattutto perché ad ogni transazione incassano
    > > una percentuale.
    > penso siano le stesse banche che sovvenzionano i
    > rettiliani...

    Dici che i rettiliani siano interessati alla forma di denaro che circola nell'economia di questo pianeta?
    non+autenticato
  • - Scritto da: d565cae8651
    > - Scritto da: bubba
    > > - Scritto da: b0e9a638346
    > > > Non so se un finto tecnico riuscirebbe
    > veramente
    > > > ad accedere all'ATM per iniettare il malware,
    > > eh? "finto tecnico"? guarda che questi sono
    > > vecchi cessi della windor nixdorf con un PC con
    > > xp..... con un coltello o un trapano fanno un
    > > buco sul case e infilano l'usb in bella
    > > vista.
    > > ... sono a quanto pare lentissimi a
    > > sostituire le cose ...
    >
    > La storia della porta USB facilmente
    > raggiungibile è di quattro anni fa. Con una
    > rapida ricerca su internet ho visto che
    > rimpiazzare gli ATM non è questa spesa enorme,
    > oltretutto negli ultimi due anni hanno ridotto il
    > numero di ATM in strada, possibile che non
    > riescano a sistemare il
    > problema?
    >
    > https://www.howmuchisit.org/how-much-do-atm-machin
    >
    >
    > > > soprattutto perché ad ogni transazione
    > incassano
    > > > una percentuale.
    > > penso siano le stesse banche che sovvenzionano i
    > > rettiliani...
    >
    > Dici che i rettiliani siano interessati alla
    > forma di denaro che circola nell'economia di
    > questo pianeta?


    assolutamente si.
    ho letto su "il gazzettino dei gonzi" una intervista al Mago Otelma, il quale affermava che durante una sedita spiritoca di tipo ipno-interplanetario, l'anima di &a##sssh (l'equivalente Rettiliano di Napoleone Buonaparte) gli ha rivelato in gran segeto che le banconote terrestri, se bollite nel sangue di hh6&aanishhhh (un animale anfibio del pianeta dei Rettiliani), generano un potente afrodisiaco sessuale, ricercatissimo tra i rettiliani e dungue rarissimo e costosissimo.

    Oh, e' tutto vero, me lo ha detto anche la mia portinaia su facebook!
    non+autenticato
  • - Scritto da: ...
    >
    > ho letto su "il gazzettino dei gonzi" una
    > intervista al Mago Otelma ...

    Vorrei farti notare che si chiama Divino Otelma; se lo chiami Mago si incazza parecchio.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > - Scritto da: ...
    > >
    > > ho letto su "il gazzettino dei gonzi" una
    > > intervista al Mago Otelma ...
    >
    > Vorrei farti notare che si chiama Divino Otelma;
    > se lo chiami Mago si incazza
    > parecchio.

    E tu lascia che si incazzi.
  • - Scritto da: d565cae8651
    > - Scritto da: bubba
    > > - Scritto da: b0e9a638346
    > > > Non so se un finto tecnico riuscirebbe
    > veramente
    > > > ad accedere all'ATM per iniettare il malware,
    > > eh? "finto tecnico"? guarda che questi sono
    > > vecchi cessi della windor nixdorf con un PC con
    > > xp..... con un coltello o un trapano fanno un
    > > buco sul case e infilano l'usb in bella
    > > vista.
    > > ... sono a quanto pare lentissimi a
    > > sostituire le cose ...
    >
    > La storia della porta USB facilmente
    > raggiungibile è di quattro anni fa.
    in che senso? i cessi che menzionavo sono MOLTO piu vecchi... mentre il kit in vendita e' buono (anche) OGGI...

    > Con una
    > rapida ricerca su internet ho visto che
    > rimpiazzare gli ATM non è questa spesa enorme,
    evidentemente c'e' un set di paradossi dentro al sistema bancario... oltre quello che pare a noi 'umani' di mero costi-benefici sull'hw 'secco'.
    Visto che hai postato un doc americano, gli Usa sono quasi emblematici su questo..... sono pieni di ATM e POS (e di violazioni), ma sono anche lentisssimi a rinnovare le macchine e il network per gestire l'EMV... cosa che in europa ormai e' ovunque.. (nonostante magari il cassone sia sempre un wincor di 8 anni fa)

    > oltretutto negli ultimi due anni hanno ridotto il
    > numero di ATM in strada, possibile che non
    > riescano a sistemare il
    > problema?
    la sicurezza fisica degli atm e' effettivamente un argomento complesso... ma sta roba degli USB facilmente accessibili e' una roba al limite del ridicolo...

    > https://www.howmuchisit.org/how-much-do-atm-machin
    >
    >
    > > > soprattutto perché ad ogni transazione
    > incassano
    > > > una percentuale.
    > > penso siano le stesse banche che sovvenzionano i
    > > rettiliani...
    >
    > Dici che i rettiliani siano interessati alla
    > forma di denaro che circola nell'economia di
    > questo
    > pianeta?
    e' possibile.. magari vogliono liquefarli per trasformarli in scie chimiche..
    non+autenticato
  • Naturalmente in omaggio col malware viene data una praticissima tastiera wireless retroilluminata, molto pratica per operare all'ATM in piena notte.