Darknet: Malware für Geldautomaten wird zum Verkauf angeboten

Kaspersky Lab vermutet russischsprachige Urheber eines für 5000 Dollar angebotenen Crimeware-Kits. Der Geldautomat muss geöffnet werden, um ein USB-Laufwerk zu verbinden. Die Schadsoftware nutzt proprietäre Programmbibliotheken der Automatenhersteller.

Kaspersky Lab hat Malware untersucht, mit der Kriminelle an die Barbestände von Geldautomaten kommen können. Ein dafür geeignetes Crimeware-Kit wurde in einem einschlägigen Forum zum Preis von 5000 Dollar beworben. Der Eintrag verlinkte zu AlphaBay, dem zuvor größten Marktplatz für illegale Waren im Darknet. Der Marktplatz wurde inzwischen durch Operationen geschlossen, an denen das FBI und Europol beteiligt waren.

Malware (Bild: Maksim Kabakou/Shutterstock)

Die so angebotene Malware gefährdet die Bankkunden nicht direkt, sondern eignet sich für den Diebstahl von Bargeld aus den Geldautomaten bestimmter Hersteller – eine zeitgemäße Form von Bankraub. Die Autoren nutzen dabei legitime proprietäre Programmbibliotheken zusammen mit einer geringen Menge von zusätzlichem Code, um die Automaten zur Geldausgabe zu veranlassen.

Das Angebot auf AlphaBay beschrieb auch Einzelheiten wie die benötigte Ausrüstung, die angreifbaren Geldautomaten-Modelle sowie Tipps und Tricks zum Einsatz der Malware. Zur Veranschaulichung gaben die Anbieter außerdem einen teilweisen Einblick in ein detailliertes Handbuch zum Toolkit. Erwähnung im Angebotstext fand die schon bekannte Geldautomaten-Malware Tyupkin.

Der Textauszug aus dem Handbuch fiel durch unbeholfenes Englisch und schlechte Formatierung auf. Die Sicherheitsforscher von Kaspersky schlossen aus benutztem Slang und grammatikalischen Fehlern, dass der Text wahrscheinlich von einem russischen Muttersprachler geschrieben wurde. Für einen russischsprachigen Hintergrund spricht außerdem die Bezeichnung der grundlegenden Malware-Komponente als „Cutlet Maker“. „Cutlet“ kann Schnitzel, Kotelett und vielleicht auch Bulette heißen – als russischer Slangbegriff bezeichnet es jedoch nicht nur ein Fleischgericht, sondern ein „Geldbündel“. Die Hauptkomponente des Toolkits tauchte zuerst in der Ukraine auf. Ab Juni 2016 wurden unterschiedliche Versionen davon in verschiedenen Ländern entdeckt.

Die Anweisung an die kriminellen Nutzer lautet, alle Programme auf einem Flash-Laufwerk zu speichern. Als Werkzeuge müssen sie eine drahtlose Tastatur, ein USB-Hub, ein USB-Kabel, einen USB-Adapter und einen Bohrer bereithalten. Um einen benötigten Code-Generator einzusetzen, ist außerdem ein Windows-Notebook oder ein Windows-Tablet erforderlich.

Dann ist ein geeigneter Geldautomat ausfindig zu machen, seine Tür zu öffnen und eine Verbindung mit einem USB-Stecker herzustellen. Die Malware-Komponente „Stimulator“ bringt die Geldvorräte in den einzelnen Kassetten in Erfahrung, woraufhin „Cutlet Maker“ den Code einer ausgewählten Kassette einholt. Diesen Code nutzt „c0decalc“ als weitere Komponente, um ein für die Geldausgabe einsetzbares Passwort zu generieren.

Erweist sich das Passwort als zutreffend, ist schließlich über die Hauptkomponente die Ausgabe einer gewünschten Menge von Geldscheinen zu veranlassen. Passend zum Namen „Cutlet Maker“ tragen die Programm-Buttons Bezeichnungen wie „Temperatur prüfen“ – das führt zur Ausgabe einer Banknote – und „Garvorgang beginnen“ – das sollte 50 Bündel mit jeweils 60 Noten auswerfen. Darüber abgebildet sind ein fröhlicher Koch und etwas, das wie eine animierte Bulette aussieht.

Die Kaspersky-Forscher empfehlen, Geldautomaten mit zusätzlicher Sicherheitssoftware zu sichern. Durch eine sinnvolle Konfiguration sollte damit möglich sein, bei Geldautomaten die Ausführung von Programmen zu verhindern, die nicht in einer Whitelist enthalten sind. Da bei solchen Angriffen oft ein USB-Laufwerk zum Einsatz kommt, sollte eine Software für die Gerätesteuerung außerdem Verbindungen mit neuen Geräten wie USB-Sticks verhindern.

WEBINAR

Webinar-Aufzeichnung: Digitalisierung fängt mit Software Defined Networking an

Digitalisierung in all ihren Facetten wird in den kommenden Jahren die IT-Strategien bestimmen. Die Ausprägung wird zwar in jedem Unternehmen anders sein, unbestritten ist jedoch, dass Software Defined Networking für alle Spielarten eine wesentliche Grundlage darstellt.

Themenseiten: Cybercrime, Kaspersky, Malware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Darknet: Malware für Geldautomaten wird zum Verkauf angeboten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *