Tyupkin, il malware per ATM che regala contanti

All’inizio dell’anno, in seguito alla richiesta di una istituzione finanziaria, i Kaspersky Labs hanno effettuato un’analisi forense relativa ad un attacco contro diversi ATM situati nell’Est Europa. I ricercatori hanno scoperto così un malware, identificato con il nome Backdoor.MSIL.Tyupkin, che permette ai cybercriminali di infettare i bancomat che eseguono una versione di Windows a 32 bit e di rubare milioni di dollari. Al tempo dell’indagine (marzo 2014), era già stati colpiti oltre 50 ATM in Europa, ma nel frattempo il malware è stato rilevato anche in India, Cina e Stati Uniti.

Per evitare la sua individuazione, Tyupkin entra in funzione solo domenica e lunedì notte. Inoltre, usa una chiave numerica generata casualmente ad ogni sessione, senza la quale non è possibile accedere all’ATM. Le telecamera di sicurezza hanno mostrato che un membro della band di cybercriminali accede fisicamente alla macchina e installa il malware mediante un CD avviabile. A questo punto, Tyupkin rimane in attesa di un comando. Dopo aver digitato due codici di 8 cifre in sequenza, uno dei quali comunicato via telefono da un altro cybercriminale, sullo schermo viene visualizzata la quantità di denaro disponibile.

Il “money mule” sceglie quindi il numero della cassetta e la macchina eroga 40 banconote. Se viene inserita una session key errata, il malware disattiva la rete locale, probabilmente per ritardare o bloccare eventuali controlli remoti.

Solitamente il furto di contanti avviene ai danni degli utenti, utilizzando gli skimmer. Negli ultimi mesi, invece, i target sono direttamente gli ATM, molti dei quali non correttamente protetti. Kaspersky suggerisce di installare telecamere di sicurezza e allarmi, cambiare le serrature e le password predefinite. Forse sarebbe meglio anche aggiornare il sistema operativo. Molti ATM eseguono Windows XP.