Des cyber-criminels ont volé des millions de dollars dans les distributeurs automatiques de billets dans le monde entier en utilisant un malware qui permet le retrait d’argent simplement en rentrant quelques codes.
Le malware baptisé Backdoor.MSIL.Tyupkin, est conçu pour fonctionner sur les distributeurs automatiques qui exécutent les versions 32 bits de Windows et qui proviennent du même fabricant, ont déclaré mardi les chercheurs de Kaspersky Lab.
Pour infecter les distributeurs, les pirates n’utilisent pas les vulnérabilités des logiciels à distance, les pirates ont infecté les distributeurs automatiques en accédant physiquement à des contrôles protégés en principe par un panneau verrouillé. Une fois arrivée à l’ordinateur Windows qui fait fonctionner le distributeur, ils lancent un CD-Rom. Kaspersky n’explique pas comment les pirates parviennent à accéder aux machines, mais l’éditeur recommande aux banques « de changer toutes les serrures et les clés principales » du capot du distributeur et d’installer des alarmes.
Le malware a été trouvé sur 50 distributeurs automatiques exploités par des établissements bancaires en Europe de l’Est. Cependant, des infections ont également été signalées en France, aux Etats-Unis, en Israël, en Inde, en Chine et en Malaisie.
Kaspersky Lab a refusé de donner le nom du fournisseur ciblé, indiquant qu’une enquête d’Interpol était en cours.
Dans les cas étudiés par Kaspersky Lab, les cybercriminels ont pris plusieurs précautions pour rendre leurs attaques plus difficiles à détecter. Par exemple, le malware pouvait réagir aux commandes du clavier PIN uniquement le dimanche et le lundi soir. Pour voir l’interface graphique du malware sur l’écran du distributeur et savoir combien et quel type de billets restaient dans le coffre, les criminels devaient saisir à chaque fois une nouveau code généré par un algorithme connu d’eux seuls, pour que personne d’autre ne puisse contrôler leur malware. L’interface de Tyupkin permet à l’opérateur de demander au distributeur automatique de prendre 40 billets de banque dans l’un de ses coffres.
Si un mauvais mot de passe est tapé, le malware Tyupkin coupe immédiatement la connexion au réseau local, pour éviter d’être tracé.
