Toolinux Linto.AI OpenPAAS OBM Hubl.IN Linagora

Cutlet Maker, un kit malware pour les... criminels amateurs

mercredi 18 octobre 2017

Cutlet Maker se compose de trois éléments et permet de vider un distributeur de billets si l’attaquant parvient à avoir accès physiquement à la machine. Un « ensemble d’outils » permettant de dérober des millions est proposé à la vente pour à peine 5.000 dollars, ce prix comprenant un manuel de l’utilisateur détaillé.

Le distributeur de billets reste une cible lucrative pour les fraudeurs, qui appliquent différentes techniques pour dérober des montants importants. Si certains font confiance à des méthodes physiques recourant à des outils capables de couper dans le métal, d’autres optent pour des infections par maliciels qui permettent de manipuler les distributeurs de billets depuis l’intérieur. Même si l’existence d’outils pour pirater des distributeurs de billets est connue depuis des années, il ressort de la découverte récente que des auteurs de maliciels investissent de plus en plus dans le développement d’outils pour les criminels moins versés dans la technologie.

Plus tôt cette année, un partenaire de Kaspersky Lab a aidé l’un de nos chercheurs à analyser un échantillon d’un outil jusqu’alors inconnu, probablement conçu pour infecter des PC dans des distributeurs de billets. Les chercheurs étaient intéressés de savoir si celui-ci ou des maliciels apparentés étaient à vendre via des forums interlopes. Une action de recherche sur les artefacts uniques du maliciel a été fructueuse : sur AlphaBay, un lieu populaire du DarkNet, ils ont découvert une publicité pour un maliciel ATM qui répondait à la demande de recherche, et il est apparu que l’échantillon initial faisait partie d’un kit malware commercial plus étendu permettant de vider des distributeurs de billets. Un post public du vendeur comportait non seulement la description du maliciel et la façon de se le procurer, mais également des instructions détaillées, avec des vidéos expliquant pas à pas comment utiliser le kit malware.

Selon l’enquête, le kit d’outils malware se compose de trois éléments :

- Le logiciel Cutlet, le module principal responsable de la communication avec le distributeur de billets ;
- c0decalc, un programme permettant de générer un mot de passe pour exécuter l’application Cutlet Maker, en guise de protection contre une utilisation non autorisée ;
- L’application Stimulator, qui permet aux criminels de gagner du temps en établissant le statut des cassettes d’argent. En installant cette application, le criminel obtient des informations précises sur les devises, la valeur totale et le nombre de billets de banque dans chaque cassette, afin de pouvoir sélectionner la cassette contenant le plus gros montant.

Le kit d’outils se trouve sur une clé USB. Pour commettre le vol, il faut donc obtenir d’abord un accès direct à l’intérieur du distributeur de billets, parce qu’un port USB y est nécessaire pour charger les maliciels. Une fois à l’intérieur, la première étape consiste dans l’installation de Cutlet Maker. Comme ce logiciel est protégé par un mot de passe, un mot de passe est généré avec le programme c0decalc, qui se trouve sur un ordinateur portable ou une tablette. Ce mot de passe sert comme une sorte de protection de droits d’auteur, pour empêcher que d’autres criminels n’utilisent l’application gratuitement. Le code généré est introduit via l’interface de Cutler Maker pour lancer le processus de vol de l’argent.

Cutlet Maker est disponible à la vente depuis le 27 mars 2017, mais les chercheurs ont constaté que la version d’origine du programme était déjà apparue en juin 2016 sur les radars de la communauté de sécurité, sur un service multicanal public en Ukraine et aussi dans d’autres pays par la suite. On ignore si le maliciel est effectivement utilisé lors des attaques, mais les directives accompagnant le kit malware comportent des vidéos présentées par les auteurs comme la preuve de l’efficacité du maliciel dans la pratique.

On ignore aussi qui se cache derrière ce maliciel. Les vendeurs potentiels, la langue, la grammaire et les erreurs de style portent à penser que l’anglais n’est pas la langue maternelle des auteurs.

Pour protéger des distributeurs de billets

- Mettez en œuvre une politique default-deny stricte qui empêche l’installation de tout logiciel non autorisé sur les distributeurs de billets ;
- Activez les mécanismes d’exploitation de l’appareil pour limiter la connexion d’appareils non habilités ;
- Utilisez une solution de sécurité personnalisée pour protéger les distributeurs de billets contre des attaques de maliciels comme Cutlet Maker.