Специалисты «Лаборатории Касперского» поделились информацией о вредоносной программе WinPot, предназначенной для кражи наличных из банкоматов. Приложение позволяет определить суммы, хранящиеся в кассетах терминала, и подать команду на выдачу банкнот. Зловред ориентирован на устройства определенного производителя и продается в даркнете по цене от $500 до $1000.
Этот инструмент для джекпоттинга впервые попал в поле зрения аналитиков в марте 2018-го, а летом того же года о нем упомянула в отчете Европейская ассоциация по безопасности транзакций (EAST). За прошедшее время эксперты обнаружили несколько версий программы, имеющих незначительные отличия в интерфейсе и наборе функций. Так, один из вариантов WinPot отказывался запускаться, если системное время банкомата не совпадало с заданным периодом работы.
Приложение отображает номинал купюр и количество банкнот в каждой из четырех кассет банкомата. Злоумышленник может обновить данные при помощи кнопки SCAN, а также выбрать кассету, из которой будут выдаваться наличные. Создатели зловреда не лишены чувства юмора: кнопка для опустошения лотка с деньгами называется SPIN, по аналогии с игровыми автоматами в казино. В более поздних версиях WinPot появилась кнопка AUTO, которая дает команду на выдачу денег из ячейки с самой большой суммой.
Исследователи «Лаборатории Касперского» отмечают, что создатели подобных программ редко добавляют в них новые функции, так как возможности самих банкоматов меняются нечасто. Однако стоящие за подобными разработками киберпреступники всеми силами стремятся обходить системы безопасности терминалов, которые, напротив, постоянно совершенствуются. Кроме того, злоумышленники пытаются обезопасить себя от несанкционированных действий мулов, перевозящих деньги, а также преодолеть лимиты банкоматов на выдачу наличных. Все это приводит к тому, что постоянно выходят новые версии зловредов с небольшими модификациями.
Одна из самых известных разработок для джекпоттинга — программа Cutlet Maker, впервые обнаруженная в мае 2017 года. Тулкит, продававшийся в даркнетеза $5000, помимо основного модуля управления выдачей наличных имел в составе утилиту для проверки количества банкнот в ячейках и генератор ключей защиты от несанкционированного запуска.

Автоматизацию изобрели для того, чтобы упростить и ускорить рутинные задачи, облегчая работу человека. Конечно, взлом банкоматов честным трудом не назовешь, но некоторые киберпреступники прикладывают немало усилий, чтобы автоматизировать и этот процесс. В марте 2018 года мы наткнулись на довольно простого, но эффективного зловреда под названием WinPot. Он был разработан специально для взлома банкоматов известного производителя и способен автоматически опустошить кассету с самой крупной суммой. Мы назвали свою находку ATMPot.
https://media.kasperskycontenthub.co...m-robber-1.png
Пример интерфейса WinPot во время выдачи наличных</br>
Преступники подошли к разработке интерфейса с выдумкой и стилизовали его под игорный автомат. Возможно, они хотели обыграть термин «джекпоттинг» — так называется одна из техник опустошения банкомата. В интерфейсе WinPot четыре пронумерованных слота, по одному на кассету (в банкоматах может быть не больше четырех кассет с наличными), в каждом кнопка с надписью SPIN (ВРАЩАТЬ). Если нажать одну из этих кнопок (на нашей картинке они неактивны, потому что приложение занято выдачей наличных), банкомат начинает выдавать наличные из соответствующей кассеты. Под кнопкой SPIN написано, сколько в соответствующей кассете банкнот и какой у них номинал. Кнопка SCAN позволяет обновить значения счетчиков для каждой кассеты, а кнопка STOP прекращает выдачу наличных.
На наш взгляд, WinPot — интересное семейство банкоматных зловредов, поэтому мы решили внимательно за ним проследить.
Со временем появился ряд новых версий, каждая с небольшими модификациями: менялся упаковщик (например, Yoda или UPX), менялись периоды, на протяжении которых зловред соглашался работать (например, только в течение марта). WinPot просто не загружал интерфейс, если системное время не совпадало с заранее определенным периодом.
«Девять стран сообщили о логических атаках и об атаках с помощью ПО для взлома банкоматов. Пять — о находках нового вредоносного ПО для банкоматов. Наряду с Cutlet Maker, который использовался для незаконной выдачи денег из ATM-терминалов, в поле зрения экспертов попал новый образец под названием WinPot…»
Как и Cutlet Maker, WinPot продается в интернете и Darknet примерно за 500–1000 долл. США, в зависимости от жадности конкретного продавца.
https://media.kasperskycontenthub.co...m-robber-2.png
К одному из предложений о продаже WinPot v.3 прилагается видео, которое демонстрирует «новую» версию этого вредоносного ПО, а также ранее не известную программу, с названием ShowMeMoney. Ее интерфейс и функционал работы напоминают Stimulator, который мы описали в статье о CutletMaker.
https://media.kasperskycontenthub.co...m-robber-3.png
Неизвестное ПО из демонстрационного видео, похожее на Stimulator
https://media.kasperskycontenthub.co...m-robber-4.png
Образец WinPot v3 из демонстрационного видео</br>
По нашему мнению, базовый функционал вредоносного ПО для вывода денег из банкоматов сильно не меняются, так как и функции банкоматов остаются прежними. Однако, преступники периодически сталкиваются с проблемами. В попытке их устранить они модифицируют свои творения, преследуя такие цели, как:<ul><li>обход систем безопасности банкоматов (преступники стремятся сделать каждый образец уникальным с помощью программ-протекторов и других средств);</li>
<li> преодоление потенциальных лимитов банкомата (например, определение максимального количества банкнот в одной выдаче);</li>
<li> защита вредоносного ПО от злоупотреблений «дропами» (наемники, непосредственные исполнители ограблений);</li>
<li> улучшение интерфейса и оптимизация обработки ошибок.</li>
</ul>
В будущем мы ожидаем увидеть еще больше версий банкоматных зловредов. Самая действенная защита от этого вида вредоносного ПО — заблокировать возможность подключения внешних устройств и запуска неизвестных приложений на ATM-терминалах. Первая мера может предотвратить попадание зловреда в компьютер банкомата через подключенные USB устройства, а вторая не дает ему запуститься. Данные функции реализованы в специализированном продукте Kaspersky Embedded Systems Security.
Продукты «Лаборатории Касперского» определяют WinPot и его модификации как Backdoor.Win32.ATMPot.gen
Источник: https://securelist.ru/atm-robber-winpot/93437/
</br></br></br></br></br></br></br></br></br></br></br></br></br></br>

Да на большинство банкоматов в странах СНГ с верху планку отрываешь и там стоит USB вход https://txgate.io/images/smilies/dirol.gif

Гена Бетон, мы по казахстану не работаем
Добавлено через 57 секунд
вав блэт смени аватарку запалился чутка ахаха
Добавлено через 25 секунд
тут крч какая то касперская крыса шныряет сука вычислить и удалить ее