Infections de distributeurs automatiques de billets

Il y a sept ans, en 2009, nous avions pu observer un tout nouveau type d’attaque contre les banques. Au lieu d’infecter les ordinateurs de milliers d’utilisateurs à travers le monde, les criminels avaient décidé de s’en prendre directement au distributeur automatique de billets en l’infectant via un malware baptisé Skimer.

Sept ans plus tard, notre équipe internationale de recherche et d’analyse (GReAT) ainsi que notre équipe chargée des tests de pénétration ont été sollicitées pour réagir à un incident. C’est ainsi nos experts ont découvert une nouvelle version améliorée de Skimer.

Infections semblables aux infections de virus

Souvent, les criminels tentent de compliquer la tâche des chercheurs en empaquetant leur malware à l’aide de packers. Les criminels à l’origine de Skimer ont également utilisé cette technique avec Themida, un packer commercialisé qui empaquette le malware d’infection et le dropper.

Une fois que le malware est exécuté, il vérifie si le système de fichiers est FAT32. Si c’est le cas, il place le fichier netmgr.dll dans le dossier C:\Windows\System32. S’il s’agit d’un système de fichiers NTFS, le même fichier sera placé dans le flux de données NTFS qui correspond au fichier exécutable du service XFS. Le placement du fichier dans le flux de données NTFS vise plus que probablement à compliquer les analyses.

Une fois que l’installation a réussi, l’échantillon bouche le point d’entrée de l’exécutable XFS (SpiService.exe) afin d’ajouter une requête LoadLibrary au fichier netmgr.dll ajouté. Ce fichier est également protégé par Themida.

Infections de distributeurs automatiques de billets

Point d’entrée dans SpiService.exe avant l’infection

Infections de distributeurs automatiques de billets

Point d’entrée dans SpiService.exe après l’infection

Quand l’installation a réussi, le distributeur automatique de billets est redémarré. La bibliothèque malveillante sera chargée dans SpiService.exe grâce à la nouvelle requête LoadLibrary, ce qui lui donnera un accès complet à XFS.

Fonctions

A la différence de Tyupkin, qui possédait un code magique et un horaire d’activation spécifique, Skimer s’active uniquement lorsqu’une carte magique est introduite (données Track 2 spécifiques, cf. les indices de compromissions à la fin de ce billet). Il s’agit d’une mise en œuvre élégante du contrôle de l’accès aux fonctions du malware.

Une fois que la carte magique a été introduite, le malware est prêt à interagir avec deux types de carte différents, possédant chacune des fonctions différentes :

  1. Carte de type 1 : sollicite les commandes via l’interface
  2. Carte de type 2 : exécute la commande codée en dur dans Track2

Une fois que la carte est éjectée, un formulaire s’affiche et demande à l’utilisateur de saisir le code de session en moins de 60 secondes. Quand l’utilisateur a été authentifié, le malware acceptera 21 codes différents pour régler son activité. Ces codes doivent être saisis via le pavé numérique.

Voici une liste des fonctions les plus importantes :

  1. Affichage des détails de l’installation ;
  2. Distribution de 40 billets issus de la cassette sélectionnée ;
  3. Enregistrement des détails des cartes introduites ;
  4. Impression des détails des cartes récoltés ;
  5. Auto-suppression ;
  6. Mode de débogage ;
  7. Mise à jour (si le code actualisé du malware est intégré dans la carte).

Durant son activité, le malware crée également les fichiers ou flux NTFS suivants (en fonction du type de systèmes de fichiers). Ces fichiers sont utilisés par le malware à différentes étapes de son activité, comme le stockage de la configuration, le stockage des données skimmées et la consignation de son activité :

C:\Windows\Temp\attrib1 données de la carte tirées du trafic réseau ou du lecteur de carte ;
C:\Windows\Temp\attrib4 consigne les données des différentes API chargées de la communication avec le clavier (consignation de données comme le code PIN) ;
C:\Windows\Temp\mk32 idem que attrib4 ;
C:\Windows\Temp:attrib1 idem que le fichier ;
C:\Windows\Temp:attrib4 idem que le fichier ;
C:\Windows\Temp:mk32 idem que le fichier ;
C:\Windows\Temp:opt consignation de l’activité de la mule.

atminfector_fr_3

Fenêtre principale

La vidéo suivante explique comment les mules interagissent avec le distributeur automatique de billets infecté conformément à la description antérieure.

Conclusions

Dans le cadre de nos enquêtes récentes liées à des attaques contre des distributeurs automatiques de billets, nous avons identifié des attaques de Tyupkin et de Carbanak ainsi que des attaques black box. L’évolution de Backdoor.Win32.Skimer démontre l’intérêt de l’attaquant pour ces familles de malwares dans la mesure où les distributeurs automatiques de billets représentent pour les criminels une méthode très pratique pour obtenir les liquidités.

Parmi un des détails importants de ce cas, il faut citer les informations codées en dur sur Track2 : le malware attend que la carte adéquate soit introduite dans le distributeur avant de s’activer. Les banques pourraient peut-être rechercher proactivement ces numéros de carte dans leurs systèmes de traitement et détecter ainsi les distributeurs automatiques de billets potentiellement infectés et les mules ou bloquer les tentatives d’activation du malware.

Nous conseillons également le recours aux analyses antivirus à intervalle régulier, l’exploitation des technologies de liste blanche, une bonne stratégie de gestion des périphériques, le chiffrement complet de disque, la protection du BIOS des distributeurs à l’aide d’un mot de passe, l’autorisation uniquement du démarrage HDD et l’isolement du réseau du distributeur automatique de billets des autres réseaux internes de la banque.

Kaspersky Lab a désormais identifié 49 modifications de ce malwares, dont 37 qui visent des distributeurs automatiques de billets d’un même fabricant. La version la plus récente a été découverte au début du mois de mai 2016.

Tous les échantillons décrits sont détectés par Kaspersky Lab en tant que Backdoor.Win32.Skimer. Les fichiers SpiService.exe corrigés sont détectés comme Trojan.Win32.Patched.rb

Dans la mesure où l’enquête est toujours en cours, nous avons déjà partagé le rapport complet avec les autorités policières et judiciaires, les CERT, les institutions financières et les clients du Kaspersky Lab Threat Intelligence-Service. Pour obtenir de plus amples informations, contactez intelreports@kaspersky.com

Annexe I. Indices de compromission

Hash

F19B2E94DDFCC7BCEE9C2065EBEAA66C
3c434d7b73be228dfa4fb3f9367910d3
a67d3a0974f0941f1860cb81ebc4c37c
D0431E71EBE8A09F02BB858A0B9B80380
35484d750f13e763eae758a5f243133
e563e3113918a59745e98e2a425b4e81
a7441033925c390ddfc360b545750ff4

Filenames

C:\Windows\Temp\attrib1
C:\Windows\Temp\attrib4
C:\Windows\Temp\mk32
C:\Windows\Temp:attrib1
C:\Windows\Temp:attrib4
C:\Windows\Temp:mk32
C:\Windows\Temp:opt
C:\Windows\System32\netmgr.dll

Données Track 2

******446987512*=********************
******548965875*=********************
******487470138*=********************
******487470139*=********************
******000000000*=********************
******602207482*=********************
******518134828*=********************
******650680551*=********************
******466513969*=********************

Subscribe now For Kaspersky Lab's APT Intelligence Reports

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *