Cutlet Maker, malware per ATM in vendita sulla darknet

Arriva dalla Russia, si vende a "crediti" e permette di svuotare un intero ATM del relativo contenuto in banconote. Commercializzato su Tor, il malware necessita del collegamento di una tastiera al sistema da attaccare

Roma – Oltre agli attacchi eseguiti da remoto , gli ATM sono naturalmente vulnerabili anche a quelli condotti “in locale” – magari con l’ausilio di Tor, di una tastiera e di una chiavetta USB contenente i tool malevoli necessari a svuotare le cassette del rispettivo contenuto in banconote .

È così che in pratica funziona Cutlet Maker , un vero e proprio “crimeware” multi-componente che nei mesi scorsi era in vendita sul marketplace di AlphaBay accessibile nella darknet di Tor. AlphaBay è stato poi chiuso dopo l’intervento delle autorità, e i cyber-criminali si sono reinventati imprenditori proponendo una versione aggiornata del loro crimeware svuota-ATM.


La nuova release di Cutlet Maker risulta quindi in vendita su un servizio nascosto di Tor (con dominio Onion) chiamato ATMjackpot , e al costo “popolare” di 1.500 dollari dà diritto all’acquisizione di 1 “credito”. Ogni credito permette di attaccare un solo ATM prodotto da Wincor Nixdorf , il che potrebbe essere più che sufficiente – dal punto di vista di un criminale da strada ancorché hi-tech – considerando che è possibile forzare la macchina a “sputare fuori” tutte le banconote presenti.

Come evidenziato dai video dimostrativi presenti sul sito ufficiale, Cutlet Maker è un attacco multi-stadio che va collegato fisicamente all’hardware informatico dell’ATM preso di mira: la chiavetta USB include i componenti necessari al funzionamento del tool, mentre la tastiera permette al “cliente” di caricare i suddetti componenti e di impartire i comandi del caso.


I file presenti sul drive USB corrispondono al malware vero e proprio (Cutlet Maker) e a Stimulator, un tool utile a valutare il contenuto in banconote di ciascuna delle cassette dell’ATM. Una volta caricato, Cutlet Maker visualizza un codice utile a “sbloccare” il credito acquistato in precedenza, operazione che va ovviamente fatta accedendo a Tor tramite smartphone o altro dispositivo portatile.


Il server nascosto risponderà al codice di Cutlet Maker con un altro codice, che una volta inserito sull’ATM darà accesso a tutte le funzionalità del malware. L’utilità principale di Cutlet Maker è ovviamente quella di forzare la distribuzione delle banconote, svuotando un intero caricatore dell’ATM o “limitandosi” a 60 banconote in 50 serie diverse.

Di Cutlet Maker parla un’analisi pubblicata di recente da Kaspersky , anche in questo caso se si tratta della versione precedente del malware quando era in vendita su AlphaBay. Kaspersky, tra l’altro, sottolinea la capacità del suo software Kaspersky Embedded Systems Security (KESS) di difendere da attacchi come quello in oggetto, ma anche KESS ha dimostrato di non essere affatto invulnerabile .

Alfonso Maruccia

fonte immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • mementomori scrive:
    qual'è il reato?
    cosa viene contestato a questi 'hacker'?di avere distribuito software con funzionalità nascoste?Il 99% dei programmi closed ricade in questo modello...
    • panda rossa scrive:
      Re: qual'è il reato?
      - Scritto da: mementomori
      cosa viene contestato a questi 'hacker'?
      di avere distribuito software con funzionalità
      nascoste?
      Il 99% dei programmi closed ricade in questo
      modello...Solo il 99%?Sinceramente pensavo qualcosa in piu'.
      • ... scrive:
        Re: qual'è il reato?
        - Scritto da: panda rossa
        Solo il 99%?
        Sinceramente pensavo qualcosa in piu'.Il rimanente è il volume di mercato dei pc con linux
        • n&C scrive:
          Re: qual'è il reato?
          - Scritto da: ...
          - Scritto da: panda rossa

          Solo il 99%?

          Sinceramente pensavo qualcosa in piu'.
          Il rimanente è il volume di mercato dei pc con
          linuxNo, il rimanente è composto da quelli che ancora credono di avere quel quid in più perché usano il mac
    • bubba scrive:
      Re: qual'è il reato?
      - Scritto da: mementomori
      cosa viene contestato a questi 'hacker'?
      di avere distribuito software con funzionalità
      nascoste?
      Il 99% dei programmi closed ricade in questo
      modello...sei una capra. a parte il crapware per windoze, ormai ci sono XXXXXni di ogni risma che ti mettono il mining in javascript in ogni tipologia di sito. ed e' a spese tue.
      • ... scrive:
        Re: qual'è il reato?
        Ma sì sarà un XXXXXne che ha un blog e ci ha messo anche lui quella roba e quindi vuole sentirsi moralmente in pace pensando che "tanto tutti fanno cose del genere". Prima probabilmente ci metteva i dialer.O quello, o è proprio un XXXXXXXX.
      • bubbolo scrive:
        Re: qual'è il reato?
        - Scritto da: bubba
        sei una capra. a parte il crapware per windoze,
        ormai ci sono XXXXXni di ogni risma che ti
        mettono il mining in javascript in ogni tipologia
        di sito. ed e' a spese tue.Ah bubba, mi deludi.Limitare/disabilitare .js è cosa che pure i bambini ormai sanno fare.
        • ... scrive:
          Re: qual'è il reato?
          Balle, chiedi in giro fra chi ha un computer qualasiasi, e vedrai che 3 su quattro non sanno manco di cosa stai parlando.
          • bubbolo scrive:
            Re: qual'è il reato?
            - Scritto da: ...
            Balle, chiedi in giro fra chi ha un computer
            qualasiasi, e vedrai che 3 su quattro non sanno
            manco di cosa stai parlando.Anche per gli ad-block, fino a qualche anno fa, la situazione era così.Ora, invece, quasi tutti vanno di ad-blocking. Se non altro, anche grazie alle varie funzionalità di ad-blocking già integrate nelle versioni più recenti di alcuni browser (sia mobili che non).Lo stesso avverrà, se non sta già accadendo, per questa nuova moda dei miners-js. Si diffonderà l'uso di no-script et similia, come già sucXXXXX con gli ad-block.
          • figlio di sura maria scrive:
            Re: qual'è il reato?
            - Scritto da: bubbolo
            Si diffonderà
            l'uso di no-script et similia, come già sucXXXXX
            con gli
            ad-block.Al massimo su qualche sito noto, per il resto dubito.Già far fuori Flash è (tuttora) un parto, figurati droppare JS dal momento che ci gira di tutto.
          • bubbolo scrive:
            Re: qual'è il reato?
            - Scritto da: figlio di sura maria
            Già far fuori Flash è (tuttora) un parto,Flash sopravvive esclusivamente dove non è conveniente offrire alternative, perché son posti che non li caga nessuno. E poco male, tanto appunto non se li cagava nessuno.Dove invece la convenienza c'è, sta tranquillo che flash lo gettano felicemente nel XXXXX. O al massimo lo tengono come alternativa per retro-compatibilità.
            figurati droppare JS dal momento
            che ci gira di tutto.E chi dice di dropparlo in toto? Semplicemente con no-script e simili, l'utenza si andrà a bloccare la parte di mining, lasciando attivo il resto. Come con gli ad-block, né più né meno.
          • figlio di sura maria scrive:
            Re: qual'è il reato?
            - Scritto da: bubbolo

            figurati droppare JS dal momento

            che ci gira di tutto.

            E chi dice di dropparlo in toto? Semplicemente
            con no-script e simili, l'utenza si andrà a
            bloccare la parte di mining, lasciando attivo il
            resto. Come con gli ad-block, né più né
            meno.Sì, avevo inteso, ma non credo sia così semplice alla stregua di bloccare un DOM o qualche regola CSS.Il codice JS lo posso ri-offuscare, spezzettarlo in vari file differenti, integrarlo in altri moduli...Comunque sì, penso che prima o poi qualche mezza soluzione salterà fuori.
          • bubbolo scrive:
            Re: qual'è il reato?
            - Scritto da: figlio di sura maria
            Sì, avevo inteso, ma non credo sia così semplice
            alla stregua di bloccare un DOM o qualche regola
            CSS.Al momento è semplice così. In futuro si vedrà.
            Il codice JS lo posso ri-offuscare, spezzettarlo
            in vari file differenti, integrarlo in altri
            moduli...Anche le tecniche anti-adblocking si sono fatte sempre più sofisticate e fantasiose col passare del tempo. Ma gli ad-block non stanno mica a guardare... Corrono ai ripari, e si aggiornano per contrastare le nuove tattiche per bypassarli.E quando questo non basta, c'è sempre la scure finale del boicottaggio.Perciò, se si ha a che fare con quelli che riescono ad accorgersi che gli stai filtrando la pubblicità, impedendoti così l'acXXXXX ai contenuti, semplicemente li si manda a quel paese.Tanto sono loro ad aver bisogno dei soldi che fanno su di me, non io dei loro contenuti.Analogo discorso per il mining-js. Dove il blocco selettivo non funziona, gli si spegne .js su tutto il sito. Fine dei giochi.
      • mementomori scrive:
        Re: qual'è il reato?
        - Scritto da: bubba
        - Scritto da: mementomori

        cosa viene contestato a questi 'hacker'?

        di avere distribuito software con funzionalità

        nascoste?

        Il 99% dei programmi closed ricade in questo

        modello...
        sei una capra. a parte il crapware per windoze,
        ormai ci sono XXXXXni di ogni risma che ti
        mettono il mining in javascript in ogni tipologia
        di sito. ed e' a spese
        tue.capra? la domanda era semplice. ho una funzionalità di mining non documentata. qual'è il reato? non mi aspetto che sappiate esattamente quale articolo del codice (civile o penale) viene contestato ma almeno la tipologia di reato si...truffa? frode? per molti di voi potrebbe anche configurarsi una circonvenzione di incapace...Ma intanto tutti a strapparsi le vesti ma nessuno che sappia il motivo.
        • ... scrive:
          Re: qual'è il reato?
          L'illecito starebbe nella mancata informazione dell'utente che le sue risorse hardware (quindi corrente elettrica) verrano utilizzate per far guadagnare altri. A spese proprie.Un po' come se io entrassi in un locale e, a mia insaputa, il gestore del locale utilizzasse la banda 3g/4g del mio smartphone/tablet, per farci quello che vuole. Traendoci anche un profitto. Il tutto a spese mie.Dove invece il gestore del sito/blog informa correttamente la sua utenza della cosa, allora non ci sarebbe nessun problema. Visto che a quel punto l'utente potrebbe scegliere se rimanere o andarsene. Cioè se minare o meno.
          • figlio di sura maria scrive:
            Re: qual'è il reato?
            - Scritto da: ...
            L'illecito starebbe nella mancata informazione
            dell'utente che le sue risorse hardware (quindi
            corrente elettrica) verrano utilizzate per far
            guadagnare altri. A spese
            proprie.
            Un po' come se io entrassi in un locale e, a mia
            insaputa, il gestore del locale utilizzasse la
            banda 3g/4g del mio smartphone/tablet, per farci
            quello che vuole. Traendoci anche un profitto. Il
            tutto a spese
            mie.

            Dove invece il gestore del sito/blog informa
            correttamente la sua utenza della cosa, allora
            non ci sarebbe nessun problema. Visto che a quel
            punto l'utente potrebbe scegliere se rimanere o
            andarsene. Cioè se minare o
            meno.Nessun illecito.Se nel sito ti offro del codice JS e scelgo di non ottimizzarlo, spreco ugualmente la tua energia.Ci traggo indirettamente del profitto, dato che non ottimizzandolo ho abbassato i costi di sviluppo.
          • ... scrive:
            Re: qual'è il reato?
            - Scritto da: figlio di sura maria
            Se nel sito ti offro del codice JS e scelgo di
            non ottimizzarlo, spreco ugualmente la tua
            energia.L'energia "sprecata" in quel modo non è assolutamente equivalente a quella di una operazione di mining JS, che ti manda in palla la cpu dalle risorse che si ciuccia.E soprattutto non è uno spreco continuo nel tempo. Finita l'esecuzione del JS mal ottimizzato, termina anche l'uso delle risorse. Il mining, invece, no. Continua.
            Ci traggo indirettamente del profitto, dato che
            non ottimizzandolo ho abbassato i costi di sviluppo."Indirettamente", appunto.Col mining, invece, la cosa è diretta e voluta. Il che cambia molto sul piano legale.
          • figlio di sura maria scrive:
            Re: qual'è il reato?
            - Scritto da: ...
            - Scritto da: figlio di sura maria

            Se nel sito ti offro del codice JS e scelgo di

            non ottimizzarlo, spreco ugualmente la tua

            energia.

            L'energia "sprecata" in quel modo non è
            assolutamente equivalente a quella di una
            operazione di mining JS, che ti manda in palla la
            cpu dalle risorse che si
            ciuccia.Sicuro? [img]http://pix.toile-libre.org/upload/original/1508490960.png[/img]Un effetto grafico scemo che gira a sfondo pagina.
            E soprattutto non è uno spreco continuo nel
            tempo. Finita l'esecuzione del JS mal
            ottimizzato, termina anche l'uso delle risorse.
            Il mining, invece, no.
            Continua.È equivalente all'esempio di sopra. Continua fintanto non si chiude la pagina.

            Ci traggo indirettamente del profitto, dato che

            non ottimizzandolo ho abbassato i costi di
            sviluppo.

            "Indirettamente", appunto.
            Col mining, invece, la cosa è diretta e voluta.
            Il che cambia molto sul piano
            legale.Anche la mancata ottimizzazione e l'abuso di risorse dei client sono pratiche dirette e volute.
          • ... scrive:
            Re: qual'è il reato?
            - Scritto da: figlio di sura maria
            Sicuro?
            [img]http://pix.toile-libre.org/upload/original/15
            Un effetto grafico scemo che gira a sfondo pagina.
            È equivalente all'esempio di sopra. Continua
            fintanto non si chiude la pagina.Puoi fare tutti gli esempi che vuoi, ma di gente che si lamenta per cpu mandate a palla da JS mal ottimizzato non ce n'è tanta. Mentre per il mining-XMR, ce n'è eccome.Il che vuol dire che la differenza tra le due cose è sentita. E di questo la giurisprudenza dovrà tenerne conto.
            Anche la mancata ottimizzazione e l'abuso di
            risorse dei client sono pratiche dirette e
            volute.Prima parli di profitti-indiretti, e adesso dici che è tutto diretto? Deciditi.Ad ogni modo, dovunque ci sia un abuso (termine usato da te) c'è spazio per una rivalsa legale.E, dato che si tratta di un fenomeno relativamente nuovo, non sappiamo quale sarà l'orientamento della giurisprudenza in materia. Probabilmente si spaccherà in due filoni opposti, quelli che come te sostengono non avvenga nessuno illecito, e la fazione avversa.Il che lascerà piena discrezionalità ai giudici nel scegliere quale corrente seguire.Quindi vai, metti il tuo bel miner-XMR JS, e tiraci giù i tuoi bei profitti. Poi non sorprenderti se un giorno verranno a bussare alla tua porta.
          • mementomori scrive:
            Re: qual'è il reato?
            - Scritto da: ...
            L'illecito starebbe nella mancata informazione
            dell'utente che le sue risorse hardware (quindi
            corrente elettrica) verrano utilizzate per far
            guadagnare altri. A spese
            proprie.Non è prevista la notifica all'utente su come vengono utilizzate le sue risorse hardware.
            Un po' come se io entrassi in un locale e, a mia
            insaputa, il gestore del locale utilizzasse la
            banda 3g/4g del mio smartphone/tablet, per farci
            quello che vuole. Traendoci anche un profitto. Il
            tutto a spese
            mie.No. il tuo scenario è totalmente differente.Nel caso in questione tu stai scegliendo di utilizzare un software (localmente o via web) e il software usa le tue risorse perchè tu hai voluto (consapevolmente o meno)

            Dove invece il gestore del sito/blog informa
            correttamente la sua utenza della cosa, allora
            non ci sarebbe nessun problema.se è un reato è un reato, comunicazione o no. e fare mining non è reato.
          • ... scrive:
            Re: qual'è il reato?
            - Scritto da: mementomori
            Non è prevista la notifica all'utente su come
            vengono utilizzate le sue risorse hardware.Ah, sì? E che mi dici di malware e virus? Col tuo bel ragionamento dovrebbero essere perfettamente leciti pure quelli, tanto stanno solo usando risorse hardware a tua insaputa, no?
            No. il tuo scenario è totalmente differente.I due scenari sono simili. Non uguali, ma analoghi.
            Nel caso in questione tu stai scegliendo di
            utilizzare un software (localmente o via web) e
            il software usa le tue risorse perchè tu hai
            voluto (consapevolmente o meno)Hai detto bene! Io accetto che le mie risorse vengano "usate", non "abusate".
            se è un reato è un reato, comunicazione o no.Mica ci stanno solo i reati penali. Esistono anche gli illeciti civili.
            e fare mining non è reato.Farlo a spese proprie, no. Anche se forse l'agenzia entrate avrebbe qualcosa da ridire sull'eventuale speculazione monetaria e/o sull'imboscamento di capitali.Farlo a spese di altri, che magari sono pure inconsapevoli, va a configurarsi in tutta una serie d'illeciti informatici.
    • ... scrive:
      Re: qual'è il reato?
      Non capisci proprio un XXXXX eh?
Chiudi i commenti