Trustwave a identifié et décortiqué un logiciel malveillant destiné à infecter les distributeurs automatiques de billets fonctionnants sous Windows XP. Il pourrait ou non être lié à celui découvert par Sophos au mois de mars dernier, baptisé Skimer par l'éditeur. En tout état de cause, cette nouvelle analyse (PDF) est beaucoup plus détaillée que celle fournie par Sophos à l'époque.

Le parasite analysé par Trustwave doit être installé sur le DAB par un complice en interne. Le vecteur d'infection est donc une fraude interne, par exemple un prestataire chargé de la maintenance des appareils.

Une fois installé via un dropper écrit en Delphi, le parasite intercepte deux services Windows, dont l'un spécifique à la fonction DAB. Sophos parle de fonctions propres au modèle Diebold Agilis 91x, mais il n'est pas assuré qu'il s'agisse ici du même malware.

Ce dernier est alors en mesure d'intercepter (via une injection de code) les données des pistes magnétiques de toutes les cartes bancaires utilisées sur le DAB piégé. Il semblerait cependant que ce cheval de Troie ne cible que les comptes dont la balance est en dollars, roubles ou hryvnia (la monnaie ukrainienne).

La méthode de contrôle du parasite est particulièrement intéressante : le code malveillant guette l'insertion d'une carte magnétique spéciale qui fait office de "carte de contrôle". Lorsque celle-ci est détectée, l'appareil affiche alors à l'écran un menu spécifique au cheval de Troie, pilotable à l'aide des touches numériques du clavier.

Deux versions de ce menu existent, dont l'une exige l'entrée d'un mot de passe supplémentaire. Elle offrirait alors des options liées à la cassette d'alimentation en billets du distributeur.

Grâce à ce menu, une dizaine de fonctions sont accessibles, qui vont du redémarrage du distributeur à la désinstallation du parasite, en passant par la gestion des journaux d'interception et, bien entendu, l'impression des données subtilisées.

Car c'est par cette voie que le fraudeur récupère les informations des cartes bancaires interceptées : en demandant l'impression de tickets ! Une option permet même de tester l'imprimante avant de lancer la sortie des informations dérobées. D'après Trustwave, une fonction pas encore analysée serait liée à l'écriture sur une carte magnétique, ce qui pourrait laisser entendre que les données peuvent - ou le pourront à l'avenir - aussi être exfiltrées via une écriture sur une carte.

Un tel parasite est très probablement l'outil d'une organisation : tant la connaissance pratique des systèmes DAB visés que la complicité interne pour son installation trahissent un niveau de sophistication qui échappent a priori à un individu isolé.

Et, surtout, le mode d'opération cloisonnée du parasite (le menu secondaire nécessite une authentification supplémentaire) semble indiquer l'intervention de plusieurs personnes. Le parasite serait d'ailleurs également à même de reconnaître une carte maîtresse ou des cartes à usage limité qui permettraient de ne réaliser qu'une tâche précise. Cela semble indiquer l'intervention de "mules" chargées de collecter l'argent, et qui seraient distinctes des responsables de l'attaque.