Alerte au malware s’attaquant aux distributeurs automatiques de billets

5
190
ATM - DAB

L’équipe GReAT de Kaspersky a révélé une importante menace qui plane sur les distributeurs automatiques de billets de banque (DAB). Un malware exploiterait silencieusement une importante faille de sécurité.

Selon une étude publiée par Kaspersky, il s’avère que les DAB utilisés par les innombrables banques seraient vulnérables à une cyberattaque perfectionnée et très discrète. D’après les spécialistes en cybersécurité, cette attaque a déjà été détectée 10 fois en France, ce qui en fait le second pays à être autant ciblé après les Etats-Unis.

Les chercheurs en sécurité ont découvert des serveurs de banques, d’organisations gouvernementales et d’opérateurs télécoms sous Windows infectés par ce nouveau malware. Tous sont unanimes : il est très discret, furtif et difficilement repérable, chose étonnante puisqu’il a été créé avec des outils de piratage standards. L’attaque exploite ainsi un porte dérobée Meterpreter et le collecteur de mots de passe Mimikatz qui font tous les deux parties de Metasploit, une plateforme de sécurité offensive utilisée pour des pentests. Actuellement, 140 victimes ont été découvertes dans le monde.

Tout commence par l’introduction d’un script Powershell qui enclenche ensuite la backdoor Metasploit au sein du système infecté. A partir de là, l’attaquant à la main sur le serveur, via l’outil Windows Netsh. Notons qu’aucun fichier n’est créé sur le disque dur, ni de logs : tout se passe directement en RAM. C’est la toute la difficulté pour le détecter ! Le but de ce malware est bien entendu de vider les distributeurs de leur précieux contenu… ou encore d’intercepter les données de carte bancaire des utilisateurs (dans ce cas, seul le code PIN fera barrière).

Rappelons que la plupart des DAB sont aujourd’hui assimilables à un ordinateur sous Windows (souvent non mis à jour) et sont exposés aux mêmes risques, ici une attaque de type “fileless malware”. Mais pour s’en prendre à un DAB, il faut auparavant s’attaquer au réseau interne de l’agence bancaire auquel il est relié : autant préciser que ce n’est pas à la portée de tous et qu’il faudra à l’attaquant une très bonne maîtrise technique que l’on retrouve uniquement au sein de certains gangs de cybercriminels.

 

Les commentaires sont fermés.