Mở bán malware nguy hiểm có thể cuỗm sạch tài khoản ngân hàng trên web đen

Thông thường bạn phải khai thác các lỗ hổng trên phần mềm hoặc phần cứng để hack tài khoản ATM nhưng giờ mọi thứ đơn giản hơn nhiều, chỉ cần mua một malware là sẽ cuỗm được hàng triệu ngay.

Hack đang trở nên dễ dàng hơn bao giờ hết. Trên một diễn đàn hacking, hacker đang rao bán malware ATM dùng sẵn, bất kì ai cũng có thể mua với giá khoảng $5000.

Bài đăng đưa thông tin mô tả cùng hướng dẫn sử dụng chi tiết bộ toolkit malware này, được thiết kế để nhắm tới nhiều kiểu thẻ ATM khác nhau mà chỉ cần kết nối với cổng USB và chạy malware, với sự trợ giúp của API mà không tương tác với người dùng ATM cũng như dữ liệu của họ.

Malware không trực tiếp ảnh hưởng tới người dùng mà sẽ lừa ATM “nôn tiền” ra mà không có xác thực. Hướng dẫn cũng có nhắc tới malware ATM có tên Tyup đã được dùng để tấn công jackpot và kiếm hàng triệu từ ATM nhiễm độc ở châu Âu và nhiều vùng khác.

Malware có tên Cutlet Maker này được các nhà nghiên cứu tại kaspersky Lab phát hiện ra khi xem một bài đăng trên diễn đàn. Cutlet Maker được bán trên AlphaBay Dark Web từ tháng 5/2017 nhưng sau khi bị hạ vào giữa tháng 7, tác giả đã mở một website riêng có tên ATMjackpot. Giá bán trên ATMjackpot là $1500 bitcoin.

Nhóm ATMjackpot còn đăng 4 video cho thấy cách chiếm quyền truy cập vào cổng USB của cây ATM, kết nối phần cứng cần thiết, chạy malware và buộc cây ATM phải nôn tiền ra.

Cutlet Maker hoạt động như thế nào?

Danh sách công cụ trong bộ toolkit gồm có:

• Cutlet Maker - malware chính
• Stimulator - ứng dụng lấy tiền từ cây ATM
• c0decalc - ứng dụng đầu cuối để tạo mật khẩu cho malware (trong phiên bản cũ khi bán trên AlphaBay)

Để hoạt động được, ứng dụng cần có một thư viện cụ thể, là một phần của ATM API độc quyền và kiểm soát việc cây ATM đưa tiền ra. Nghĩa là hacker sử dụng “thư viện độc quyền hợp pháp và một đoạn code để lấy tiền từ cây ATM”.

Tiếp cận cây ATM, kẻ tấn công kết nối qua cổng USB, kết nối bàn phím, chuột không dây và thiết bị lưu trữ di động trên đó có chứa malware. Khi kết nối và chạy Cutlet Maker, malware sẽ hiển thị đoạn mã góc dưới cửa sổ.

Đoạn mã dùng để lấy mật khẩu malware

Có được đoạn mã rồi, người dùng phải truy cập ATMjackpot từ điện thoại có cài Tor và nhập mã để lấy mật khẩu mở khóa ứng dụng Cutlet Maker. Sau đó sẽ dùng ứng dụng Simulator để truy vấn số dư tài khoản trên cây và nhận tiền.

Nhập mã thành công và bắt đầu lấy tiền từ cây ATM

Bản malware cũ bán trên AlphaBay sử dụng thêm tập tin c0decalc nhưng trong bản mới, có vẻ cổng ATMjackpot đã thay thế cho tập tin này.

Kaspersky nói rằng ATM được bảo vệ bằng Kaspersky Embedded Systems Security (KESS) sẽ chặn được malware này.