Darknet: Malware für Geldautomaten wird zum Verkauf angeboten

Kaspersky Lab hat Malware untersucht, mit der Kriminelle an die Barbestände von Geldautomaten kommen können. Ein dafür geeignetes Crimeware-Kit wurde in einem einschlägigen Forum zum Preis von 5000 Dollar beworben. Der Eintrag verlinkte zu AlphaBay, dem zuvor größten Marktplatz für illegale Waren im Darknet. Der Marktplatz wurde inzwischen durch Operationen geschlossen, an denen das FBI und Europol beteiligt waren.

Die so angebotene Malware gefährdet die Bankkunden nicht direkt, sondern eignet sich für den Diebstahl von Bargeld aus den Geldautomaten bestimmter Hersteller – eine zeitgemäße Form von Bankraub. Die Autoren nutzen dabei legitime proprietäre Programmbibliotheken zusammen mit einer geringen Menge von zusätzlichem Code, um die Automaten zur Geldausgabe zu veranlassen.

Das Angebot auf AlphaBay beschrieb auch Einzelheiten wie die benötigte Ausrüstung, die angreifbaren Geldautomaten-Modelle sowie Tipps und Tricks zum Einsatz der Malware. Zur Veranschaulichung gaben die Anbieter außerdem einen teilweisen Einblick in ein detailliertes Handbuch zum Toolkit. Erwähnung im Angebotstext fand die schon bekannte Geldautomaten-Malware Tyupkin.

Der Textauszug aus dem Handbuch fiel durch unbeholfenes Englisch und schlechte Formatierung auf. Die Sicherheitsforscher von Kaspersky schlossen aus benutztem Slang und grammatikalischen Fehlern, dass der Text wahrscheinlich von einem russischen Muttersprachler geschrieben wurde. Für einen russischsprachigen Hintergrund spricht außerdem die Bezeichnung der grundlegenden Malware-Komponente als „Cutlet Maker“. „Cutlet“ kann Schnitzel, Kotelett und vielleicht auch Bulette heißen – als russischer Slangbegriff bezeichnet es jedoch nicht nur ein Fleischgericht, sondern ein „Geldbündel“. Die Hauptkomponente des Toolkits tauchte zuerst in der Ukraine auf. Ab Juni 2016 wurden unterschiedliche Versionen davon in verschiedenen Ländern entdeckt.

Die Anweisung an die kriminellen Nutzer lautet, alle Programme auf einem Flash-Laufwerk zu speichern. Als Werkzeuge müssen sie eine drahtlose Tastatur, ein USB-Hub, ein USB-Kabel, einen USB-Adapter und einen Bohrer bereithalten. Um einen benötigten Code-Generator einzusetzen, ist außerdem ein Windows-Notebook oder ein Windows-Tablet erforderlich.

Dann ist ein geeigneter Geldautomat ausfindig zu machen, seine Tür zu öffnen und eine Verbindung mit einem USB-Stecker herzustellen. Die Malware-Komponente „Stimulator“ bringt die Geldvorräte in den einzelnen Kassetten in Erfahrung, woraufhin „Cutlet Maker“ den Code einer ausgewählten Kassette einholt. Diesen Code nutzt „c0decalc“ als weitere Komponente, um ein für die Geldausgabe einsetzbares Passwort zu generieren.

Erweist sich das Passwort als zutreffend, ist schließlich über die Hauptkomponente die Ausgabe einer gewünschten Menge von Geldscheinen zu veranlassen. Passend zum Namen „Cutlet Maker“ tragen die Programm-Buttons Bezeichnungen wie „Temperatur prüfen“ – das führt zur Ausgabe einer Banknote – und „Garvorgang beginnen“ – das sollte 50 Bündel mit jeweils 60 Noten auswerfen. Darüber abgebildet sind ein fröhlicher Koch und etwas, das wie eine animierte Bulette aussieht.

Die Kaspersky-Forscher empfehlen, Geldautomaten mit zusätzlicher Sicherheitssoftware zu sichern. Durch eine sinnvolle Konfiguration sollte damit möglich sein, bei Geldautomaten die Ausführung von Programmen zu verhindern, die nicht in einer Whitelist enthalten sind. Da bei solchen Angriffen oft ein USB-Laufwerk zum Einsatz kommt, sollte eine Software für die Gerätesteuerung außerdem Verbindungen mit neuen Geräten wie USB-Sticks verhindern.