Infos

Tyupkin retire de l’argent : Kaspersky Lab publie une analyse sur un Trojan de distributeur automatique de billets

Kaspersky Lab a publié sur son blog Securelist un rapport relatif à l’analyse d’une cyberattaque visant les distributeurs automatiques de billets (DAB) de banques d’Europe de l’Est. Les experts du GReAT (Global Research and Analysis Team, équipe internationale de recherche et d’analyse) ont identifié un Trojan qui permet aux individus malintentionnés de vider le DAB par le biais de manipulations directes du terminal.

D’après les chercheurs, ce malware aurait été identifié sur plus de 50 DAB de plusieurs banques d’Europe de l’Est. Le site VirusTotal signale également plusieurs apparitions de ce Trojan dans divers pays dont les Etats-Unis, l’Inde et la Chine. Ce nouveau malware, baptisé Backdoor.MSIL.Tyupkin, infecte les DAB produits par la société NCR qui tournent sous une version 32 bits de Microsoft Windows.

Afin d’éviter la détection et de pouvoir rester le plus longtemps possible dans le DAB, le malware n’accepte les commandes de son opérateur que la nuit du dimanche au lundi. Ces commandes, qui sont une succession de chiffres, sont saisies via le clavier du DAB. Tyupkin comprend les commandes suivantes :

  • accès à la page principale du Trojan ;
  • suppression du Trojan sur le DAB ;
  • prolongation de la période d’activité ;
  • sortie de la page principale du Trojan.

La connaissance de ces commandes ne suffit pas pour retirer de l’argent : une fois sur la page principale, le Trojan sollicite la saisie d’une clé de session à usage unique. La saisie d’une clé incorrecte bloque l’interface réseau du DAB. Cette mesure est probablement destinée à empêcher l’inspection à distance du DAB par le service de sécurité. Si l’opérateur saisit la clé correcte, il peut sélectionner la dénomination dont il recevra 40 billets.

L’infection des DAB s’opère via un lecteur optique. Même si le DAB est doté de la solution de protection McAfee Solidcore, il sera infecté car, une fois installé, le Trojan Tyupkin désactive la protection.

Vicente Diaz, principal expert de la lutte contre les virus chez Kaspersky Lab explique que "le nombre d’attaques contre les DAB à l’aide de skimmer et de malware a augmenté au cours des dernières années. Nous sommes actuellement témoins de l’évolution naturelle de cette menace. Les cybercriminels ont gravi un échelon dans la chaîne alimentaire et s’attaquent directement aux institutions financières. Pour ce faire, ils infectent les DAB ou organisent des attaques de style APT contre les banques. Le malware Tyupkin est un exemple d’exploitation par les individus malintentionnés de vulnérabilités dans l’infrastructure".

Vicente Diaz poursuit : "Nous encourageons vivement les banques à analyser la sécurité physique de leurs DAB et de leur infrastructure réseau et de penser à investir dans des solutions de protection de qualité".

Tyupkin n’est pas le premier Trojan pour DAB capable de gérer le distributeur. Ainsi, le malware Ploutus était doté d’une capacité similaire. La seule différence était que la commande pour le retrait d’argent était transmise par SMS via un téléphone mobile connecté au port USB du DAB. Cette méthode compliquait l’infection et réduisait la durée de vie moyenne du Trojan dans le DAB.

Sanjay Virmani, directeur du centre contre la criminalité numérique d’Interpol, a déclaré : "Les individus malintentionnés cherchent en permanence à améliorer l’exécution de leur activité criminelle et nous devons informer sans cesse les autorités policières et judiciaires des pays membres d’Interpol sur les tendances et les modus operandi actuels".

Les experts de Kaspersky Lab ont adressé des recommandations aux banques pour lutter contre cette nouvelle attaque :

  • Analyser la sécurité physique des DAB et de l’infrastructure réseau et penser à investir dans des solutions de protection de qualité.
  • Remplacer toutes les serrures et les clés principales de la partie supérieure des DAB et modifier les paramètres du système par défaut.
  • Installer un système d’alarme et s’assurer qu’il fonctionne bien. Les cybercriminels qui se cachent derrière Tyupkin n’attaquent que les DAB dépourvus de système d’alarme.
  • Changer les mots de passe BIOS par défaut.
  • Confirmer que les appareils possèdent la protection antivirus la plus récente.
  • Pour savoir comment vérifier si vos DAB ont été infectés, contactez Kaspersky Lab par e-mail à l’adresse intelreports@kaspersky.com. L’outil gratuit Kaspersky Virus Removal Tool peut être utilisé pour analyser le système du DAB et supprimer le malware.

Selon Vicente Diaz, "les individus malintentionnés ne peuvent infecter à l’heure actuelle que les appareils d’un seul fabricant avec leur Trojan. Dès qu’ils auront trouvé la manière d’infecter un DAB d’un modèle en particulier, ils pourront essayer d’infecter d’autres DAB de ce même modèle. L’attaque sera une réussite tant que les banques n’auront pas mis en place des mesures de protection supplémentaires."

Securelist

Tyupkin retire de l’argent : Kaspersky Lab publie une analyse sur un Trojan de distributeur automatique de billets

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception