В 2017-2018 годах жертвами KoffeyMaker стали ряд восточноевропейских банков.
Одним из наиболее популярных у киберпреступников способов ограбления банкоматов являются атаки black box, требующие физического контакта с аппаратной частью банкомата. Необходимое для атаки оборудование можно приобрести в интернете, а доступные инструкции помогут в ее осуществлении даже низко квалифицированным преступникам.
Инструментарий для подобных атак эксперты «Лаборатории Касперского» назвали KoffeyMaker. По словам исследователей, в 2017-2018 годах они расследовали ряд атак с применением KoffeyMaker, жертвами которых стали банки в странах Восточной Европы.
Злоумышленники вскрывали банкомат, подключали к диспенсеру специальное устройство, управляемое через ноутбук, закрывали банкомат и уходили. В условленное время сообщники с ноутбуком давали диспенсеру команду выдавать деньги и воры забирали банкноты, а затем под видом технических работ отключали диспенсер от устройства.
Для управления диспенсером банкомата злоумышленники использовали ноутбук под управлением Windows (версии XP, ME или 7) с соответствующими драйверами и обновленной утилитой KDIAG. Для организации удаленного доступа к ноутбуку подключался USB GPRS модем.
KoffeyMaker напоминает описанный ранее специалистами ЛК способ Cutlet Maker, разница заключается в используемом ПО. KoffeyMaker предполагает использование легитимных программ, за исключением кастомизированной KDIAG, детектируемой продуктами ЛК как RiskTool.Win32.DIAGK.a.
