- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Passwort-Schutz nur für Geldräuber


Cutlet Maker: Die Malware, mit der auch Amateure Geldautomaten ausrauben können
Kaspersky Lab identifiziert im Darknet ein Software-Kit speziell für Laien

- Anzeigen -





Die Experten von Kaspersky Lab haben im Darknet ein Malware-Angebot gefunden, mit dessen Hilfe quasi jeder einen Geldautomaten ausrauben kann, sofern er Zugang zum Gerät bekommt. Für 5.000 US-Dollar ist die speziell für kriminelle Laien konstruierte, dreiteilige Software inklusive detaillierter Gebrauchsanleitung unter dem Namen "Cutlet Maker" erhältlich.

Geldautomaten sind bereits seit längerer Zeit ein lukratives Ziel für Kriminelle. Während die einen brutale Gewalt walten lassen und die Geräte aufbrechen, manipulieren andere lieber die Software der Automaten. Das jüngst entdeckte Beispiel für Schadsoftware dieser Art zeigt nun, dass Malware-Hersteller inzwischen auch cyberkriminelle Laien ansprechen.

Ein Partner von Kaspersky Lab entdeckte Anfang des Jahres ein bislang unbekanntes Sample zur Manipulation von Geldautomaten und leitete dies an die Experten von Kaspersky Lab weiter. Diese konnten ein dazu passendes Angebot auf der gängigen Verkaufsplattform AlphaBay im Darknet ausfindig machen. Das ursprünglich gefundene Malware-Sample entpuppte sich damit als Teil eines kommerziellen Software-Kits zum Ausrauben von Geldautomaten. Zu dessen Verkaufspaket gehört auch eine Schritt-für-Schritt-Anleitung für den Einsatz inklusive Video-Tutorial.

Damit sich mehrere "Kunden" nicht in die Quere kommen und maximalen Profit abschöpfen können, besteht das Malware-Toolkit aus drei Teilen. Der Geldautomat wird mit Hilfe eines USB-Sticks, auf dem sich die eigentliche Malware Cutlet Maker befindet, infiziert. Um zu verhindern, dass andere Kriminelle dieselbe Malware nutzen, muss anschließend ein Passwort eingegeben werden, das mit einem getrennt zu installierenden "c0decalc"-Programm auf Laptop oder Tablet generiert wird. Zum Malware-Kit gehört noch eine dritte Anwendung, die detaillierte Informationen über den aktuellen Inhalt der Geldkassetten im Automaten liefert.

Cutlet Maker war seit dem 27. März 2017 erhältlich, die Experten fanden jedoch Hinweise auf eine frühere Lieferung an einen ukrainischen Multiscanner-Anbieter im Juni 2016 sowie weitere Fälle. Ob die Malware tatsächlich eingesetzt wurde, ist unklar, obwohl das Tutorial-Video suggeriert, unter realen Bedingungen gedreht worden zu sein. Die Hintermänner sind bisher nicht identifiziert, aufgrund einiger Sprachfehler handelt es sich allerdings nicht um Englische Muttersprachler.

"Cutlet Maker benötigt kaum tiefgehenderes Wissen oder professionelle Computerkenntnisse seitens des Kriminellen", so Konstantin Zykov, Sicherheitsexperte bei Kaspersky Lab. "Damit wird das Ausrauben von Geldautomaten von einer hochentwickelten Cyberoperation zu einer weiteren Art, wie sich illegal Geld beschaffen lässt – und das für jeden, der einige Tausend Dollar für den Kauf aufbringen kann. Das kann zu einer gefährlichen Bedrohung für Finanzorganisationen werden. Man sollte darauf hinweisen, dass Cutlet Maker mit der Hard- und Software des Bankautomaten interagiert und damit auf fast keine Sicherheitshindernisse stößt."

Sicherheitsempfehlung für Finanzorganisationen
• >> Einführung einer strikten "Default-Deny-Politik", um keine unautorisierte Software in Geldautomaten ausführen zu können.
• >> Installation von Kontrollmechanismen, um die Verbindung von fremden externen Geräten zu verhindern.
• >> Nutzung maßgeschneiderter Sicherheitslösungen
(Kaspersky Lab: ra)

eingetragen: 06.11.17
Home & Newsletterlauf: 07.12.17


Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Erfolgreiche Methoden in neuem Gewand

    Forscher von Eset haben sich eine aktuelle Malware-Kampagne der asiatischen Hacker-Gruppe OceanLotus genauer angesehen. Diese Gruppe ist auch unter den Namen APT32 oder APT C-00 bekannt und greift vor allem Ziele in Ostasien an. Laut den Forschungsergebnissen nutzen die Cyberkriminellen zwar weitgehend die gleichen bekannten Prozesse wie bei vorherigen Angriffe, aber eine neue Backdoor. Ein White Paper von Eset zeigt die verschiedenen Methoden für drei Ziele auf: Nutzer zur Ausführung der Backdoor verleiten, die Malware-Analyse verzögern und Entdeckung verhindern.

  • Cyberattacke auf unvorsichtige Nutzer

    Barracuda Networks hat eine neue Form einer Cyberattacke auf unvorsichtige Nutzer identifiziert, die von Kriminellen genutzt werden kann, um Ransomware oder andere Malware zu verbreiten. Die Angreifer nutzen eine für die Nutzer unbekannte Dateiendung innerhalb eines Links, um den bereits bekannten Trojaner Quant Loader zu starten, der in der in der Lage ist, Ransomware zu verbreiten und Passwörter abzugreifen. Die Angriffstechnik über Links in E-Mails ist zwar nicht neu, neu bei dieser Variante ist, dass der URL nicht "http://" vorangestellt ist, sondern "file://", was sie mit Samba verknüpft anstatt eines Webbrowsers.

  • Ziel, sensible Daten stehlen

    Die Experten von Kaspersky Lab haben Teile der Infrastruktur der bekannten russischsprachigen APT-Gruppe "Crouching Yeti" - auch bekannt als Energetic Bear - aufgedeckt, darunter kompromittierte Server auf der ganzen Welt. Laut den Cybersicherheitsexperten waren seit dem Jahr 2016 zahlreiche Server in verschiedenen Ländern betroffen, auch um auf andere Ressourcen Zugriff zu erhalten. Weitere Server, einschließlich derjenigen, die russische Websites hosten, wurden für Wasserloch-Attacken genutzt. Kaspersky Lab hat im Vorfeld der Hannover Messe Industrie, die vom 23. bis zum 27. April 2018 stattfindet, bereits für die zweite Jahreshälfte 2017 überwiegend viele Cyberattacken gegen Organisationen aus den Branchen Energie sowie Maschinenbau und ICS-Integration gemeldet.

  • Miner für Kryptowährungen

    Sicherheitsforscher haben erstmals einen Miner für Kryptowährungen entdeckt, der eine "Kill List"-Funktion enthält. Sie stoppt laufende Prozesse anderer Coinminer und versucht so die Rechenleistung zur Transaktionsverarbeitung eines infizierten Computers komplett für sich in Beschlag zu nehmen. Also quasi rivalisierende Miner auszuschalten. Xavier Mertens, Sicherheitsforscher beim ICS Sans, hält diesen Coinminer an sich aber für nichts Ungewöhnliches, sondern für eine der vielen neuen Malware-Varianten, die sich auf das Mining von Kryptowährungen spezialisiert haben und insbesondere seit Beginn dieses Jahres auftauchen. Seit Anfang 2018 hat sich die Cyberkrimininalität ganz offensichtlich von Ransomware verstärkt auf die Verteilung von Coinminern verlagert.

  • Die Schadsoftware ist in Skins enthalten

    Eine 30-Tage-Datenanalyse von Avast ergab, dass nahezu 50.000 Minecraft-Accounts mit Malware infiziert wurden. Die Schadsoftware kann Festplatten neu formatieren und Backups und Systemprogramme löschen. Das verseuchte Powershell-Script, das die Sicherheitsexperten des Avast Threat Labs entdeckt haben, wird mit Hilfe der Minecraft "Skins" in Form von PNG-Dateien verbreitet. Diese Skins sind beliebte Features, um das Aussehen eines Minecraft Avatars zu verändern. Sie können von diversen Online-Quellen auf die Minecraft-Website hochgeladen werden und stehen dann für die Spieler zum Download bereit.