Un gang de pirates particulièrement efficace sévit actuellement dans le monde entier. Ils infectent des distributeurs de billets minutieusement choisis, puis siphonnent leur argent en douce. Selon Kaspersky, qui a analysé le logiciel malveillant utilisé, la Russie est le principal pays touché. Mais des infections ont également été signalées en France, aux Etats-Unis, en Israël, en Inde, en Chine et en Malaisie. Plus de cinquante distributeurs ont été piratés à ce jour.
Le procédé employé est à la fois simple et ingénieux, et a permis aux malfaiteurs de voler déjà « plusieurs millions de dollars » au total. Pour infecter les distributeurs, les pirates ne s’appuient pas sur une faille logicielle, mais matérielle : ils arrivent à accéder de manière physique à l’ordinateur Windows qui fait fonctionner le distributeur (nombre d’entre eux sont encore sous XP) puis ils insèrent un CD-Rom dans le lecteur, tout simplement. Kaspersky n’explique pas comment les pirates arrivent à accéder à ces machines, mais l’éditeur recommande aux banques « de changer toutes les serrures et les clés principales » du capot du distributeur et d’installer des alarmes. Visiblement, le niveau de sécurité matérielle des distributeurs bancaires n’est pas toujours très élevé !
Une fois installé, le logiciel malveillant – baptisé « Tyupkin » – crée une porte dérobée plutôt sophistiquée. La mule chargée de retirer l’argent compose un code secret sur le clavier, puis accède à un menu complet qui lui affiche le contenu des différents tiroirs du distributeur. Il lui suffit alors de faire son choix et hop, la machine crache les billets.
Un certain nombre de garde-fous ont également été implémentés. Ainsi, le retrait d’argent ne peut se faire qu’à certaines heures de la semaine, généralement pendant la nuit du dimanche ou du lundi. Ce qui permet de ne pas trop éveiller de soupçons. Par ailleurs, avant d’effectuer son choix, la mule doit renseigner un numéro de session. Pour cela, Tyupkin affiche un numéro spécial que la mule doit transférer à son commanditaire qui, lui, connait l’algorithme et peut en déduire le bon numéro de session. Ce procédé permet d’éviter que certaines mules vident les distributeurs de leur propre chef, sans tenir au courant leurs « supérieurs ».
Après avoir décortiqué le malware, Kaspersky a réalisé une vidéo qui montre les différentes étapes du piratage sur un distributeur d’essai.
Lire aussi:
Les distributeurs de billets sous XP particulièment vulnérables, le 20/01/2014
Des SMS pour piller les distributeurs de billets sous Windows XP, le 25/03/2014
Source:
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.