Virus Suceful – GAB

On n’a jamais autant entendu parler de programmes malveillants que depuis ces dernières années. Si initialement, ces malwares s’en prenaient aux ordinateurs, aujourd’hui, avec la professionalisation de ce marché, d’autres cibles sont apparues comme les centrales nucléaires avec le ver StuxNet, et depuis peu les guichets automatiques bancaires (GAB) avec Suceful. C’est de ce dernier virus que traitera ce billet.

Avant de rentrer dans le vif du sujet, il est important d’avoir à l’esprit les composants macro d’un GAB.

Composition d’un GAB

Un GAB est composé d’une machine équipée d’un système d’exploitation (par exemple Windows), de plusieurs périphériques comme le clavier, appelé PIN-PAD, des cassettes (petites caisses contenant les billets de banque), etc. Ces périphériques sont pilotés par un programme informatique. Le problème est que chaque fabricant de GAB a créé son protocole de communication avec ces différents devices, compliquant ainsi le développement des couches supérieures.

Heureusement, une sous-couche intermédiaire et standardisée a été rajoutée afin de simplifier la portabilité de ces logiciels. Elle s’appelle XFS (eXtensions for Financial Services). Les programmes se basent donc sur cette API pour communiquer et cette dernière s’occupe de l’interaction avec tous les périphériques.

Fonctionnement de Suceful

Si XFS facilite la tâche aux programmeurs, il en est de même pour les créateurs de malwares. C’est ainsi que Suceful, créé le mois dernier, s’en prend aux GAB. Il s’agit du 1er malware multidistributeur, c’est-à-dire s’attaquant à toutes les marques de distributeur quelles qu’elles soient (NCR, Diebold, …).

Contrairement à ses prédécesseurs qui visent directement l’argent des automates en leur faisant cracher des billets, Suceful cible les porteurs. En effet, cette backdoor permet la récupération du numéro de carte, le contrôle du clavier (PIN-PAD) afin de récupérer le code confidentiel, etc.

Ce changement de stratégie rallonge la durée de l’attaque puisque les pirates se constituent un tas de données bancaires qu’ils utiliseront ultérieurement.

Comment Suceful infecte-il les GAB ?

Les GAB ne sont normalement pas reliés à Internet. Comment est-il alors possible que des pirates installent une porte dérobée sur les distributeurs ? Tout simplement en s’octroyant un accès physique à ces derniers et en utilisant une clé USB. La nécessité d’accéder physiquement à la machine explique pourquoi ce phénomène est encore rare. Cependant, les GAB ne devraient pas se reposer sur cette seule protection. En effet, les préconisations relatives aux ordinateurs s’appliquent également aux distributeurs : mise à jour de l’OS (migration de XP…), mot de passe de session robuste, …

D’autant qu’une fois le GAB infecté, il est très difficile de détecter la malveillance. Surveillez donc de près vos comptes bancaires ! En cas d’opérations frauduleuses vous saurez quoi faire.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*