Onderzoekers van Kaspersky Lab hebben nieuwe malware ontdekt die volgens beveiligingsanalisten verantwoordelijk is voor het stelen van geld van geldautomaten met oudere Windows-besturingssystemen. Dit, aangezien de overvalcriminelen een grote zorg blijven vanwege de enorme hoeveelheid geld die ze kunnen stelen.
Volgens Kaspersky-onderzoekers komen geldautomaatdieven uit Oost-Europa, waar ook kaartskimmers wijdverbreid zijn. Criminelen gebruiken naar verluidt malware om hun aanvallen op bepaalde kwetsbare geldautomaten uit te voeren, allemaal zonder een gestolen creditcard of betaalpas te vervalsen. Tyupkin-malware wordt net zo gemakkelijk gebruikt om geld op te nemen van een geldautomaat als een legitieme kaart.
Als resultaat van de samenwerking tussen Kaspersky Lab en Interpol, werd ontdekt dat meer dan 50 geldautomaten zijn geïnfecteerd met Tyupkin, en die geldautomaten draaien op een 32-bits versie van Windows. Daarom is het duidelijk dat aanvallers misbruik maken van onbekende beveiligingsfouten in het besturingssysteem van de geldautomaat met behulp van Tyupkin-malware.
De onderzoekers ontdekten verder dat Tyupkin-inzendingen voornamelijk uit Rusland komen, terwijl een klein percentage afkomstig is uit de continentale Verenigde Staten. Het onderzoek leverde ook resultaten op waarin stond dat er verdere verbeteringen zijn aangebracht aan varianten van bankmalware, waaronder anti-debugging- en anti-emulatiefuncties die detectie door beveiligingssoftwaretools en malwarescanners proberen te omzeilen.
Afgezien daarvan, hoe werkt de Tyupkin-malware nog meer? Aan de ene kant zorgen aanvallers ervoor dat alleen zij toegang hebben tot het op te nemen geld en sluiten willekeurige gebruikers van een geldautomaat uit. Dit is mogelijk wanneer een aanvaller de malware configureert om op een bepaald tijdstip van de dag te doen wat hij doet. De aanvaller zou dan een sleutel invoeren om toegang te krijgen tot een gerichte geldautomaat. De sleutel is de enige tool waarmee geld kan worden opgenomen zonder een valse of zelfs legitieme kaart.
De onderzoekers merkten op:
De malware moet vanaf een opstartbare cd in de geldautomaat worden geladen en de malware downloadt een uitvoerbaar bestand en een foutopsporingsbestand naar de geldautomaat.
Nu meer dan ooit wordt het voor banken urgent om de fysieke beveiliging van hun geldautomaatinfrastructuur te versterken en beveiligingssoftware van een hoger niveau te installeren, zoals oudere versies van Windows, zoals Windows XP, die nog steeds in gebruik zijn bij de meeste geldautomaten over de hele wereld krijgen nauwelijks of geen beveiligingsupdates meer van Microsoft.
