다크넷 시장에서 거래되는 ATM 악성코드

카스퍼스키 연구원, AlphaBay 다크넷 시장에서 5000 달러에 거래되는 Cutlet Maker 악성코드 발견

 

주요내용

 

카스퍼스키 연구원, AlphaBay 다크넷 시장에서 5000 달러에 거래되는 Cutlet Maker 악성코드 발견

ATM 악성코드 구매 시 내부에 “Wall ATM Read Me.txt“라는 안내문이 있으며 문법 오류나 속어 사용 등을 볼 때 러시아 해커 소행임을 추정

※ CUTLET MAKER의 “CUTLET”은 본래 “돼지 등 고기로 조리된 요리”이나 러시아 속어로 돈다발의 의미도 갖고 있음

CUTLET MAKER는 “Delphi” 언어로 개발된 프로그램으로 VMProtect로 패킹되어 있으며 ATM기계 조정용 API를 사용하기 때문에 특정 라이브러리에 의존적임

CUTLET MAKER 프로그램에서 “CHECK HEAT” 버튼 클릭 시 ATM 기계 종류를 알려주며 “start cooking” 버튼 클릭 시 프로그램 기준 50개의 돈다발을 인출하며 “Stop” 버튼 클릭 시 동작을 멈춤

CUTLET MAKER를 사용하기 위해서는 C0decalc 프로그램을 통해 생성된 세션 키를 입력해야 하며 이는 다수의 사용자가 해당 프로그램을 무작위로 사용하는 것을 

방지하기 위함임

Stimulator는 공격 대상 ATM기의 잔고 상태, 거래 내역 등을 확인하기 위한 프로그램임

시사점

 

ATM기 등 임베디드 시스템을 대상으로 한 사이버 위협이 점차 가속화됨에 따라 정기적인 윈도우 업데이트 설치 및 백신 최신 상태 유지 등을 권고함

[출처]

1. https://securelist.com/atm-malware-is-being-sold-on-darknet-market/81871/ 2017. 10. 17