개요
[출처]
1. https://securelist.com/atm-malware-is-being-sold-on-darknet-market/81871/ 2017. 10. 17
작성 : 침해사고분석단 종합분석팀
- 카스퍼스키 연구원, AlphaBay 다크넷 시장에서 5000 달러에 거래되는 Cutlet Maker 악성코드 발견
주요내용
- 카스퍼스키 연구원, AlphaBay 다크넷 시장에서 5000 달러에 거래되는 Cutlet Maker 악성코드 발견
- ATM 악성코드 구매 시 내부에 “Wall ATM Read Me.txt“라는 안내문이 있으며 문법 오류나 속어 사용 등을 볼 때 러시아 해커 소행임을 추정
※ CUTLET MAKER의 “CUTLET”은 본래 “돼지 등 고기로 조리된 요리”이나 러시아 속어로 돈다발의 의미도 갖고 있음 - CUTLET MAKER는 “Delphi” 언어로 개발된 프로그램으로 VMProtect로 패킹되어 있으며 ATM기계 조정용 API를 사용하기 때문에 특정 라이브러리에 의존적임
- CUTLET MAKER 프로그램에서 “CHECK HEAT” 버튼 클릭 시 ATM 기계 종류를 알려주며 “start cooking” 버튼 클릭 시 프로그램 기준 50개의 돈다발을 인출하며 “Stop” 버튼 클릭 시 동작을 멈춤
- CUTLET MAKER를 사용하기 위해서는 C0decalc 프로그램을 통해 생성된 세션 키를 입력해야 하며 이는 다수의 사용자가 해당 프로그램을 무작위로 사용하는 것을 방지하기 위함임
- Stimulator는 공격 대상 ATM기의 잔고 상태, 거래 내역 등을 확인하기 위한 프로그램임
시사점
- ATM기 등 임베디드 시스템을 대상으로 한 사이버 위협이 점차 가속화됨에 따라 정기적인 윈도우 업데이트 설치 및 백신 최신 상태 유지 등을 권고함
[출처]
1. https://securelist.com/atm-malware-is-being-sold-on-darknet-market/81871/ 2017. 10. 17
작성 : 침해사고분석단 종합분석팀