Un logiciel malveillant mine certains distributeurs automatiques de billets
Les distributeurs automatiques de billets de banque ne sont plus à l’abri des pirates informatiques. Après Sophos en mars, c’est au tour de Trustwave de faire état d’un logiciel malveillant ciblant précisément ces automates. Ce malware touche les machines équipées de Windows XP et capture les données des pistes magnétiques des cartes bancaires des utilisateurs ainsi que leur code PIN à quatre chiffres.
Lsass.exe. C’est son petit nom, celui du logiciel malveillant dont Trustwave a récupéré un échantillon et qui s’attaque aux distributeurs automatiques de billets de banque (DAB, ou ATM en anglais, pour Automated Teller Machine). Ce logiciel malveillant aurait été trouvé sur des DAB en Europe de l’Est mais aurait commencé à se diffuser au-delà des frontières du vieux continent. Ses fonctions sont simples : récupérer les données de la piste magnétique des cartes bancaires ainsi que le code PIN de leur porteur. Et stocker le tout avant récupération.
Cette opération nécessite une interaction physique avec le DAB, via une carte magnétique de contrôle permettant d’accéder à l’interface d’administration du logiciel malveillant. L’extraction de données peut se faire sur papier, via l’imprimante embarquée du DAB – les données sont alors chiffrées avec l’algorithme DES –, ou sur un support de stockage électronique. Truswave émet l’hypothèse d’un stockage sur carte magnétique, via le lecteur embarqué du DAB. Le malware pourrait en outre déclencher l’éjection du coffre de stockage des billets.
Primitif dans ses capacités de communication
Très évolué dans ses fonctions de captation de données, le logiciel malveillant découvert par Trustwave injecte du code dans certains processus afin de s’immiscer dans la file d’attente des messages transactionnels. Et d’aller jusqu’à valider les données collectées afin de s’assurer de ne récupérer que celles correspondant à des transaction autorisées par les organismes bancaires. En clair, ce malware ne récupère que des données bancaires effectivement exploitables, portant sur des montants en dollars, en roubles ou en monnaie ukrainienne.
Ce logiciel malveillant ne fonctionne que sur les DAB équipés de Windows XP. Mais, surtout, il n’intègre pas de fonctions de communications électroniques. Ce qui lui interdit de s’auto-propager de DAB en DAB et limite son potentiel de nuisance. Cependant, Trustwave assure avoir déjà collecté « plusieurs versions de ce malware » et estime qu’il « évoluera avec le temps », commençant à « se propager au travers d’une population très large de DAB. » Bref, ce n’est qu’un début. Un début peut-être déjà dépassé : Lsass.exe a été créé le 25 juillet 2007.
Du coup, Trustwave recommande à toutes les institutions financières chargées d’exploiter des DAB d’engager « une analyse de leur environnement afin de vérifier si ce malware ou un logiciel malveillant similaire est présent. »
Mi-mars, les équipes des Sophos Labs avait déjà fait état de la découverte d’un logiciel malveillant visant les DAB. Découverte réalisée en Russie, sur des ATM de marque Diebold. Diebold a prévenu l’ensemble de ses clients concernés, évoquant de multiples rapports d’intrusion physique sur les DAB de sa marque en Russie.
Pour Sophos, qui a baptisé Troj/Skimer-A le malware découvert en mars dernier, « les échantillons évoqués ici semblent bien liés à Skimer. Il s’agit probablement du même gang, un gang qui se focalise sur les DAB. » Reste une question, ouverte, mais que se pose l’éditeur : « est-ce que cela va aller au-delà ? »