Le programme malicieux Skimer qui prend pour cible les distributeurs automatiques de billets, et découvert par Kaspersky Lab en 2009, reprend du service, en toute discrétion.
Découvert en 2009, Skimer (un groupe russophone) a été le premier programme malicieux à prendre pour cible les DAB. Sept ans plus tard, les cybercriminels ré-utilisent ce malware. Mais le programme, ainsi que les escrocs, ont évolué. Selon Kaspersky « ils représentent une menace encore plus importante pour les banques et leurs clients partout dans le monde. » Car même si une banque découvre avoir été victime d’une attaque, aucune somme d’argent n’a été dérobée et rien n’a été modifié dans son système….
Dans le cadre d’une enquête menée suite à un incident, l’équipe d’experts de Kaspersky Lab a mis au jour le scenario imaginé par les cybercriminels et découvert des traces d’une version améliorée du malware Skimer sur l’un des DAB d’une banque. Il avait été posé là et n’avait pas été activé jusqu’à ce que les criminels lui envoient un contrôle : une façon ingénieuse de couvrir leurs traces.
L’outil Backdoor.Win32.Skimer infecte le cœur de l’ATM
Le groupe Skimer commence ses opérations en accédant au système du DAB, soit physiquement, soit via le réseau interne de la banque visée. Ensuite, après été installé avec succès dans le système, l’outil Backdoor.Win32.Skimer infecte le cœur de l’ATM, c’est-à-dire le fichier exécutable en charge des interactions entre la machine et l’infrastructure de la banque, de la gestion des espèces et des cartes bancaires.
Ainsi, les criminels contrôlent complètement les DAB infectés. Au lieu d’installer un lecteur de carte frauduleux qui se superpose à celui du DAB pour siphonner les données des cartes, les criminels transforment le DAB lui-même en terminal frauduleux. En infectant les DAB avec Backdoor.Win32.Skimer, ils peuvent retirer tout l’argent disponible dans le distributeur ou récupérer les données des cartes des utilisateurs qui viennent retirer de l’argent, y compris le numéro de compte et le code de carte bancaire des clients de la banque. Il est impossible pour un individu lambda d’identifier un DAB infecté car aucun signe de le distingue d’un système sain.
Un zombie réveillé par une carte dédiée
Le groupe Skimer n’agit pas immédiatement et couvre ses traces avec beaucoup de prudence. Leur malware peut opérer pendant plusieurs mois sans entreprendre la moindre action. Pour le réveiller, les criminels doivent insérer une carte spécifique, qui contient certaines entrées sur sa bande magnétique. Après lecture de ces entrées, Skimer peut exécuter la commande codée en dur ou requérir des commandes via le menu spécial activé par la carte. L’interface graphique de Skimer n’apparaît sur l’écran qu’une fois la carte éjectée et si les criminels ont composé la bonne clé de session, de la bonne façon, sur le pavé numérique en moins de 60 secondes.
À l’aide du menu, les criminels peuvent activer 21 commandes différentes, comme distribuer de l’argent, collecter les données des cartes insérées, activer l’autosuppression, effectuer une mise à jour (depuis le code du malware mis à jour embarqué sur la puce de la carte), etc. D’autre part, lors de la collecte des données de cartes bancaires, Skimer peut sauvegarder les fichiers dumps et les codes PIN sur la puce de la même carte, ou il peut imprimer les données de cartes collectées sur des tickets générés par le DAB.
Dans la plupart des cas, les criminels choisissent d’attendre pour collecter les données volées afin de créer des copies de ces cartes ultérieurement. Ils utilisent ces copies dans des DAB non infectés pour retirer de l’argent sur les comptes clients sans être inquiétés. De cette manière, ils s’assurent que les DAB infectés ne seront pas découverts. Et ils récupèrent de l’argent simplement.
Les 20 derniers échantillons de la famille Skimer ont été uploadés depuis plus de 10 régions à travers le monde : Emirats Arabes Unis, France, Etats-Unis, Russie, Macao, Chine, Philippines, Espagne, Allemagne, Géorgie, Pologne, Brésil, République Tchèque.
En vidéo, la récupération de billet à l’aide de la procédure décrite ci-dessus
L’infection est semblable à celle d’un virtus
Souvent, les criminels tentent de compliquer la tâche des chercheurs en empaquetant leur malware à l’aide de packers. Les criminels à l’origine de Skimer ont également utilisé cette technique avec Themida, un packer commercialisé qui empaquette le malware d’infection et le dropper.
Plus d’actualité sur : Détournement de revenus publicitaires en ligne : comment le cheval de Troie Redirector.Paco infecte 1 million de machines