Tyupkin retire de l’argent : Kaspersky Lab publie une analyse sur un Trojan de distributeur automatique de billets

Kaspersky Lab a publié sur son blog Securelist un rapport relatif à l’analyse d’une cyberattaque visant les distributeurs automatiques de billets (DAB) de banques d’Europe de l’Est. Les experts du GReAT (Global Research and Analysis Team, équipe internationale de recherche et d’analyse) ont identifié un Trojan qui permet aux individus malintentionnés de vider le DAB par le biais de manipulations directes du terminal.

D’après les chercheurs, ce malware aurait été identifié sur plus de 50 DAB de plusieurs banques d’Europe de l’Est. Le site VirusTotal signale également plusieurs apparitions de ce Trojan dans divers pays dont les Etats-Unis, l’Inde et la Chine. Ce nouveau malware, baptisé Backdoor.MSIL.Tyupkin, infecte les DAB produits par la société NCR qui tournent sous une version 32 bits de Microsoft Windows.

Afin d’éviter la détection et de pouvoir rester le plus longtemps possible dans le DAB, le malware n’accepte les commandes de son opérateur que la nuit du dimanche au lundi. Ces commandes, qui sont une succession de chiffres, sont saisies via le clavier du DAB. Tyupkin comprend les commandes suivantes :

  • accès à la page principale du Trojan ;
  • suppression du Trojan sur le DAB ;
  • prolongation de la période d’activité ;
  • sortie de la page principale du Trojan.

La connaissance de ces commandes ne suffit pas pour retirer de l’argent : une fois sur la page principale, le Trojan sollicite la saisie d’une clé de session à usage unique. La saisie d’une clé incorrecte bloque l’interface réseau du DAB. Cette mesure est probablement destinée à empêcher l’inspection à distance du DAB par le service de sécurité. Si l’opérateur saisit la clé correcte, il peut sélectionner la dénomination dont il recevra 40 billets.

L’infection des DAB s’opère via un lecteur optique. Même si le DAB est doté de la solution de protection McAfee Solidcore, il sera infecté car, une fois installé, le Trojan Tyupkin désactive la protection.

Vicente Diaz, principal expert de la lutte contre les virus chez Kaspersky Lab explique que "le nombre d’attaques contre les DAB à l’aide de skimmer et de malware a augmenté au cours des dernières années. Nous sommes actuellement témoins de l’évolution naturelle de cette menace. Les cybercriminels ont gravi un échelon dans la chaîne alimentaire et s’attaquent directement aux institutions financières. Pour ce faire, ils infectent les DAB ou organisent des attaques de style APT contre les banques. Le malware Tyupkin est un exemple d’exploitation par les individus malintentionnés de vulnérabilités dans l’infrastructure".

Vicente Diaz poursuit : "Nous encourageons vivement les banques à analyser la sécurité physique de leurs DAB et de leur infrastructure réseau et de penser à investir dans des solutions de protection de qualité".

Tyupkin n’est pas le premier Trojan pour DAB capable de gérer le distributeur. Ainsi, le malware Ploutus était doté d’une capacité similaire. La seule différence était que la commande pour le retrait d’argent était transmise par SMS via un téléphone mobile connecté au port USB du DAB. Cette méthode compliquait l’infection et réduisait la durée de vie moyenne du Trojan dans le DAB.

Sanjay Virmani, directeur du centre contre la criminalité numérique d’Interpol, a déclaré : "Les individus malintentionnés cherchent en permanence à améliorer l’exécution de leur activité criminelle et nous devons informer sans cesse les autorités policières et judiciaires des pays membres d’Interpol sur les tendances et les modus operandi actuels".

Les experts de Kaspersky Lab ont adressé des recommandations aux banques pour lutter contre cette nouvelle attaque :

  • Analyser la sécurité physique des DAB et de l’infrastructure réseau et penser à investir dans des solutions de protection de qualité.
  • Remplacer toutes les serrures et les clés principales de la partie supérieure des DAB et modifier les paramètres du système par défaut.
  • Installer un système d’alarme et s’assurer qu’il fonctionne bien. Les cybercriminels qui se cachent derrière Tyupkin n’attaquent que les DAB dépourvus de système d’alarme.
  • Changer les mots de passe BIOS par défaut.
  • Confirmer que les appareils possèdent la protection antivirus la plus récente.
  • Pour savoir comment vérifier si vos DAB ont été infectés, contactez Kaspersky Lab par e-mail à l’adresse intelreports@kaspersky.com. L’outil gratuit Kaspersky Virus Removal Tool peut être utilisé pour analyser le système du DAB et supprimer le malware.

Selon Vicente Diaz, "les individus malintentionnés ne peuvent infecter à l’heure actuelle que les appareils d’un seul fabricant avec leur Trojan. Dès qu’ils auront trouvé la manière d’infecter un DAB d’un modèle en particulier, ils pourront essayer d’infecter d’autres DAB de ce même modèle. L’attaque sera une réussite tant que les banques n’auront pas mis en place des mesures de protection supplémentaires."

Securelist

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *