暗网出售“排骨制造机”可轻松清空ATM机

这款恶意软件名为“排骨制造机(Cult Maker)”，从2017年5月起就开始在AlphaBay暗网市场上售卖；7月中旬AlphaBay被拿下后，其运营人员又单独设立了一个网站出售。

犯罪分子推出ATMjackpot网站

犯罪分子新推出的这个网站名为ATMjackpot，上面出售的“排骨制造机”跟之前相比做了一些修改。其运营人员声称该恶意软件可针对所有的WincorNixdorf ATM机，而攻击者需要做的就是访问ATM的USB端口。

ATMjackpot运营人员发布四个视频展示了如何访问ATM的USB端口、连接所需硬件、运行恶意软件并让ATM机吐钞（可见原文）。

此前，犯罪分子需要爆炸物、强大的钻头或者链子将ATM机绑定到一辆汽车上，而如今一切都变得特别容易。一把小刀就可搞定一切。

目前，“排骨制造机”的售价是1500比特币。

“排骨制造机”如何运作

犯罪分子接近一台单独的ATM机、暴露机器的USB端口并连接USB集线器，“排骨制造机”攻击就发生了。在集线器中，攻击者连接一个无线键盘和鼠标以及存储该恶意软件的Flash存储设备。

该恶意软件包由两份文件组成：CutletMaker（跟ATM机的软件API交互的主要app）以及Simulator（获取ATM机每个现金盒内容的app）。

USB端口连接后，用户必须运行“排骨制造机”的主恶意软件。之后，恶意软件就会在窗口的右下角展示一个代码。买家必须提取这个代码，从手机（安装了Tor）上访问ATMjackpot门户并输入代码解锁“排骨制造机”app的密码。犯罪分子随后就能通过Simulator app查询当前ATM现金盒中的余额并开始提钱。了解到余额后，犯罪分子就能利用CutletMaker app中的四个按钮实施行动。

* 检查火候 (CHECK HEAT)：从相应的四个ATM现金盒中选择其中一个

* 开始烹饪 (start cooking!)：从50种不同系列中选择60个备注

* 关火 (Stop)：停止一个“停止烹饪”进程

* 重置 (Reset)：重置现金选择流程

此前曾在AlphaBay出售

卡巴斯基实验室还发布了一份报告，详细说明了“排骨制造机”恶意软件旧版本的工作原理。该报告说明的是今年早些时候在AlphaBay上出售的版本。

在ATMjackpot网站上出售的恶意软件跟此前版本的运作方式不同。AlphaBay版本使用了三个文件，其中两个文件跟当前版本相同，另外一个文件是codecalc。Codecalc用作主app的许可证生成器。在最新版本中，似乎已替换该文件。

报告指出，“排骨制造机”是用Delphi编写的，而且其名称源自一个俄罗斯术语，”cutlet” 意指“一卷钞票”。

卡巴斯基实验室指出，受卡巴斯基KESS保护的ATM机会拦截“排骨制造机”的运作，不过上周Embedi公司的研究人员找到了一种绕过KESS的方法。