Type de virus : virus/programme malveillant
Également appelé : Backdoor.MSIL.Tyupkin
Tyupkin est un programme malveillant permettant aux cybercriminels de vider des distributeurs automatiques par manipulation directe. Ce programme malveillant, détecté par Kaspersky Lab sous le nom de Backdoor.MSIL.Tyupkin, affecte les DAB d’un important fabricant de distributeurs de billets qui fonctionnent sous Microsoft Windows 32-bit.
Les cybercriminels suivent deux étapes :
Étape 1 : accéder et infecter
Ils commencent par accéder physiquement à un DAB et y insèrent un CD de démarrage pour installer le programme malveillant ; le code est appelé Tyupkin (Backdoor.MSIL.Tyupkin). Après avoir été redémarré, le DAB est sous leur contrôle.
Étape 2 : contrôler et voler
Le DAB fonctionne ensuite en boucle infinie, dans l’attente d’un ordre. Afin que l’arnaque soit plus difficile à détecter, le programme malveillant Tyupkin accepte uniquement les ordres à des moments spécifiques les dimanche et lundi soirs. C’est à ces moments-là que les cybercriminels peuvent voler l’argent à partir de la machine infectée.
Méthodologie
Les enregistrements vidéos des caméras de sécurité des DAB infectés ont montré la méthodologie utilisée pour accéder à l’argent à partir des machines. Une nouvelle combinaison de chiffres unique et aléatoire est générée pour chaque session. Cela permet de garantir qu’aucune personne hors du groupe de cybercriminels ne profite accidentellement de la fraude. L’opérateur malveillant reçoit ensuite des instructions par téléphone de la part d’un autre membre du groupe de cybercriminels qui connaît l’algorithme et qui est capable de générer une clé de session basée sur le nombre affiché. Cela permet de garantir que les mules qui récupèrent l’argent n’essayent pas d’agir seules.
Lorsque la clé est saisie correctement, le DAB affiche la somme disponible dans chacun des coffres. L'opérateur n'a plus qu'à choisir le coffre à dérober. Ensuite, le distributeur automatique délivre 40 billets à la fois issus du coffre choisi.
Dans quels pays le virus Tyupkin infecte-t-il les DAB ?
Selon les statistiques fournies par VirusTotal, le programme malveillant a été enregistré dans les pays suivants :
Pays dans lesquels le programme malveillant Tyupkin est opérationnel
Visionnez la vidéo sur la faille de sécurité d’un DAB infecté par le virus Tyupkin
Autres articles et liens en rapport avec les cybermenaces