Tyupkin : le malware qui la joue cash

Face aux mesures de répression adoptées par les autorités et à la prise de conscience du grand public sur les arnaques aux cartes bancaires, les cyber-criminels remontent de plus en plus systématiquement la chaîne pour s’attaquer directement aux établissements financiers.

C’est la principale conclusion dressée par Kaspersky Lab après une enquête de plusieurs mois autour d’un malware visant de nombreux distributeurs automatiques de billets (DAB) en Europe de l’Est. Ce dénommé Tyupkin se propagerait actuellement en Chine, en Inde et aux Etats-Unis. Il serait même – d’après les données compilées avec le service en ligne d’analyse de fichiers VirusTotal – arrivé en France.

Au printemps dernier, plus d’une cinquantaine de distributeurs étaient déjà touchés par ce virus. Le point commun entre toutes ces machines : elles proviennent du même fabricant (non cité) et tournent sous un environnement Windows 32 bits. Les images filmées par plusieurs caméras de vidéosurveillance démontrent que Backdoor.MSIL.Tyupkin (c’est son nom officiel dans la base de signatures de Kaspersky Lab) a systématiquement été installé… via un CD amorçable, sur des DAB à la sécurité physique insuffisante.

Les pirates ont deux fichiers à copier : ulssm.exe dans le dossier C:\Windows\system32\ et AptraDebug.lnk dans %ALLUSERSPROFILE%\Start Menu\Programs\Startup\. Le malware procède alors à une analyse du système, puis supprime le fichier .lnk avant de créer une nouvelle entrée dans le registre Windows : [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] avec la valeur « AptraDebug » = « C:\Windows\system32\ulssm.exe ». Il peut alors interagir avec le distributeur via la bibliothèque MSXFS.dll (« Microsoft Extension for Financial Services »).

Pour ne pas éveiller les soupçons, Tyupkin ne s’active qu’à une heure précise de la nuit, le dimanche et le lundi. Il s’exécute en boucle jusqu’à ce qu’un utilisateur lance une commande et la confirme avec la touche « Validation » du DAB. Trois opérations de base sont possibles : changer la période d’activité du malware, lancer son autodestruction… ou bien afficher la fenêtre principale, sur laquelle s’affiche le nombre de billets disponibles dans chacun des compartiments du distributeur.

En saisissant une clé aléatoire obtenue grâce à un algorithme dont eux seuls ont connaissance, les malfaiteurs peuvent retirer jusqu’à 40 billets en une fois. Si un mauvais mot de passe est entré, Tyupkin coupe immédiatement la connexion au réseau local, sans doute pour ne pas être pisté. Le malware a évolué avec le temps : dans sa dernière version (répertoriée .d), il implémente une protection anti-débogage et désactive automatiquement la solution antivirus McAfee Solidcore intégrée aux DAB ciblés.

Pour Kaspersky, il appartient aux banques de renforcer en priorité la sécurité physique de leurs machines en s’assurant notamment que l’alarme soit fonctionnelle et que les clés de verrouillage soient personnalisées (ne surtout pas laisser celles implantées par le constructeur).

Crédit photo : Room27 – Shutterstock.com