Kaspersky Lab découvre Cutlet Maker, le kit malware pour les criminels amateurs
Publié le 17/10/2017 Dans Press Releases  Par zion
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Utrecht, le 17 octobre 2017 – Les chercheurs de Kaspersky Lab ont découvert des maliciels pour distributeurs de billets qui sont vendus ouvertement sur le marché du DarkNet. Cutlet Maker se compose de trois éléments et permet de vider un distributeur de billets si l’attaquant parvient à avoir accès physiquement à la machine. Un « ensemble d’outils » permettant de dérober des millions est proposé à la vente pour à peine 5.000 dollars, ce prix comprenant un manuel de l’utilisateur détaillé.

Le distributeur de billets reste une cible lucrative pour les fraudeurs, qui appliquent différentes techniques pour dérober des montants importants. Si certains font confiance à des méthodes physiques recourant à des outils capables de couper dans le métal, d’autres optent pour des infections par maliciels qui permettent de manipuler les distributeurs de billets depuis l’intérieur. Même si l’existence d’outils pour pirater des distributeurs de billets est connue depuis des années, il ressort de la découverte récente que des auteurs de maliciels investissent de plus en plus dans le développement d’outils pour les criminels moins versés dans la technologie.

Plus tôt cette année, un partenaire de Kaspersky Lab a aidé l’un de nos chercheurs à analyser un échantillon d’un outil jusqu’alors inconnu, probablement conçu pour infecter des PC dans des distributeurs de billets. Les chercheurs étaient intéressés de savoir si celui-ci ou des maliciels apparentés étaient à vendre via des forums interlopes. Une action de recherche sur les artefacts uniques du maliciel a été fructueuse : sur AlphaBay, un lieu populaire du DarkNet, ils ont découvert une publicité pour un maliciel ATM qui répondait à la demande de recherche, et il est apparu que l’échantillon initial faisait partie d’un kit malware commercial plus étendu permettant de vider des distributeurs de billets. Un post public du vendeur comportait non seulement la description du maliciel et la façon de se le procurer, mais également des instructions détaillées, avec des vidéos expliquant pas à pas comment utiliser le kit malware.

Selon l’enquête, le kit d’outils malware se compose de trois éléments :

· Le logiciel Cutlet, le module principal responsable de la communication avec le distributeur de billets ;

· c0decalc, un programme permettant de générer un mot de passe pour exécuter l’application Cutlet Maker, en guise de protection contre une utilisation non autorisée ;

· L’application Stimulator, qui permet aux criminels de gagner du temps en établissant le statut des cassettes d’argent. En installant cette application, le criminel obtient des informations précises sur les devises, la valeur totale et le nombre de billets de banque dans chaque cassette, afin de pouvoir sélectionner la cassette contenant le plus gros montant.

Le kit d’outils se trouve sur une clé USB. Pour commettre le vol, il faut donc obtenir d’abord un accès direct à l’intérieur du distributeur de billets, parce qu’un port USB y est nécessaire pour charger les maliciels. Une fois à l’intérieur, la première étape consiste dans l’installation de Cutlet Maker. Comme ce logiciel est protégé par un mot de passe, un mot de passe est généré avec le programme c0decalc, qui se trouve sur un ordinateur portable ou une tablette. Ce mot de passe sert comme une sorte de protection de droits d’auteur, pour empêcher que d’autres criminels n’utilisent l’application gratuitement. Le code généré est introduit via l’interface de Cutler Maker pour lancer le processus de vol de l’argent.

Cutlet Maker est disponible à la vente depuis le 27 mars 2017, mais les chercheurs ont constaté que la version d’origine du programme était déjà apparue en juin 2016 sur les radars de la communauté de sécurité, sur un service multicanal public en Ukraine et aussi dans d’autres pays par la suite. On ignore si le maliciel est effectivement utilisé lors des attaques, mais les directives accompagnant le kit malware comportent des vidéos présentées par les auteurs comme la preuve de l’efficacité du maliciel dans la pratique.

On ignore aussi qui se cache derrière ce maliciel. Les vendeurs potentiels, la langue, la grammaire et les erreurs de style portent à penser que l’anglais n’est pas la langue maternelle des auteurs.

"Cutlet Maker ne demande quasiment pas de connaissances ou compétences informatiques professionnelles de la part de l’utilisateur”, précise Jornt van der Wiel, security researcher chez Kaspersky Lab Benelux. “Le kit d’outils fait passer le piratage de distributeurs de billets d’une cyber-opération avancée à une manière illégale de gagner de l’argent pour tout qui dispose de quelque milliers de dollars à investir dans le maliciel. Cela peut se muer en une menace énorme pour les organisations financières. Mais plus important encore : Cutlet Maker collabore avec les logiciels et le matériel des distributeurs de billets et ne rencontre quasiment aucune entrave en matière de protection. Il faut absolument y remédier afin de permettre aux distributeurs de billets de se défendre."

Pour protéger des distributeurs de billets contre les attaques avec des outils comme Cutlet Maker, et pour offrir une protection physique fiable, les spécialistes de Kaspersky Lab donnent aux équipes de sécurité des organisations financières les conseils suivants :

· Mettez en œuvre une politique default-deny stricte qui empêche l’installation de tout logiciel non autorisé sur les distributeurs de billets ;

· Activez les mécanismes d’exploitation de l’appareil pour limiter la connexion d’appareils non habilités ;

· Utilisez une solution de sécurité personnalisée pour protéger les distributeurs de billets contre des attaques de maliciels comme Cutlet Maker.

Pour une meilleure protection des distributeurs de billets, Kaspersky Lab conseille également de recourir à une bonne solution de sécurité, comme Kaspersky Embedded Systems Security.

Les produits de Kaspersky Lab détectent et bloquent les maliciels de Cutlet Maker.

Vous pouvez en lire davantage sur le fonctionnement de Cutlet Maker dans le récent blogpost sur Securelist.com.

Cette analyse constitue l’étape suivante dans l’enquête en cours de Kaspersky Lab sur les maliciels financiers ayant pour cible les distributeurs de billets. De plus amples informations sur l’évolution des attaques d’ATM peuvent être trouvées dans le rapport de Kaspersky Lab sur les futurs scénarios d’attaques visant les systèmes de vérification de distributeurs de billets.

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Publicité
Informaticien.be  - © 2002-2017 Akretio SPRL  - Generated via Kelare - Hosted by Verixi Internet Services
The Akretio Network: Akretio  - Freedelity  - KelCommerce  - Votre publicité sur informaticien.be ?