SUCEFUL : LE MALWARE NOUVELLE GENERATION

SUCEFUL : LE MALWARE NOUVELLE GENERATION

Story Highlights

  • SUCEFUL vise les DAB et menace non plus les banques mais les clients
  • Il peut :
  • Lire les données de toutes les cartes de crédit/retrait
  • Lire les données contenues dans la puce
  • Contrôler le malware par l’intermédiaire du clavier du DAB
  • Retenir ou Ejecter la carte sur commande : permet d’utiliser la carte de crédit physique
  • Inhiber les capteurs du DAB afin d’éviter toute détection

Un Malware multitâche qui en veut à votre carte bancaire : des fonctions effrayantes …

Vous introduisez votre carte bancaire dans un distributeur de billets, et là, elle est avalée …

Plusieurs raisons possibles à cela :

1- Vous avez mis beaucoup trop de temps à entrer votre code

2- Une erreur de connexion avec le réseau de votre banque s’est produite

3 – Le distributeur est infecté par un malware et votre carte  sera rejetée ultérieurement à la demande des auteurs de cette arnaque.

Un malware venu du froid

MalwareLes experts de FireEye ont découvert un malware qui répond au doux nom prometteur de Backdoor.ATM.Suceful qui infecte les Distributeurs Automatiques de Billets (DAB), et qui contrairement à ses prédécesseurs, est doté de « Features » inquiétants.

Si les malwares visant les DAB ne sont pas nouveaux, celui-ci est hors du commun car il vise les détenteurs de cartes.

Plautus,  Padpin(2013), Tyupkin et ses variantes (2014), le code préféré des pirates, avaient écumé les DAB, en les infectant. Ces DAB crachaient  leurs contenus de billets, générant pour l’industrie bancaire des pertes  se chiffrant en millions de dollars.

Suceful , tout droit venu d’un upload sur VirusTotal  issu de Russie, et apparu le 25 Août 2015, ne vise pas l’argent contenu dans les DAB, mais les détenteurs de cartes de crédit. Ses capacités relèvent du JAMAIS VU !

La Next Gen des malwares

carte-bleue-effacer-code-securiteIl peut :

  • Lire les données de toutes les cartes de crédit/retrait
  • Lire les données contenues dans la puce
  • Contrôler le malware par l’intermédiaire du clavier du DAB
  • Retenir ou Ejecter la carte sur commande : permet d’utiliser la carte de crédit physique
  • Inhiber les capteurs  du DAB afin d’éviter toute détection

Son seul point commun avec Plautus et Padpin, est son interaction avec la plateforme intergicielle  (ou middleware) XFS, qui est le port standard adopté par les principaux fabricants de DAB.

XFS est l’interface entre une application (dans ce cas, le malware SUCEFUL) et les appareils périphériques. Tout comme le langage Java, dont le mantra est « Ecrit une fois, Exécuté partout », XFS manager permet de faire tourner le malware d’une façon transparente. Ses cibles ? Les fabricants de DAB  Diebold et NCR.

 

 

Distributeur, ouvre-toi !

Chaque fabricant implémente XFS Manager et les contrôles de sécurité adéquats à sa façon, mais le modèle par défaut du gestionnaire de fichiers XFS fourni par l’architecture WOSA/XFS permet aux pirates de générer leur propre interface avec le DAB.

Les fonctionnalités des interfaces du Service Provider XFS SPI sont adaptées à chaque matériel.

Architecture WOSA/XFS, commune aux principaux fabricants de DAB
Architecture WOSA/XFS, commune aux principaux fabricants de DAB

 

En cliquant sur différents boutons de l’interface, les pirates peuvent vérifier que leur malware fonctionne correctement : SUCEFUL s’affiche alors.

L'Interface de Test de SUCEFUL
L’Interface de Test de SUCEFUL

 

Etape 1 : Etablir une connexion avec XFS manager

Avant toute interaction avec les appareils périphériques, il convient d’établir une connexion avec XFS Manager via WFSStartup API.

 

Se Connecte à XFS Manager via WFSStartup API
Se Connecte à XFS Manager via WFSStartup API

 Etape 2 : Ouverture de sessions avec les appareils périphériques

Connexion-XFSL’étape suivante consiste à ouvrir des sessions avec les appareils périphériques, via les Service Providers par XFS Manager, en appelant WFSOpen ou WFSAsyncOpen API : le premier paramètre est le nom du périphérique logique.

  • Une session est donc ouverte avec  Diebold Card Reader, dont le nom logique est  DBD_MotoCardRdr .
Ouverture de session avec Diebold Card Reader
Ouverture de session avec Diebold Card Reader
  • Lecteur-de-cartePuis, une session avec  NCR Card Reader est initiée. Son nom logique est  IDCardUnit 1.
Ouverture de session avec NCR Card Reader
Ouverture de session avec NCR Card Reader
  • AlarmeEnfin, une session avec le module des capteurs et des alarmes est lancée.
Ouverture de session avec le Module des Capteurs et Alarmes
Ouverture de session avec le Module des Capteurs et Alarmes

 

Rien d’alarmant pour SUCEFUL

Le Module des capteurs et des indicateurs (Sensors and Indicators Unit : SIU) a pour fonction de faire fonctionner des catégories de ports (les indicateurs) dont :

  • les capteurs de portes : la cabine de retrait, le coffre, et les portes de protection
  • les détecteurs d’alarme : falsification, manipulation frauduleuse,  sismique, chaleur
  • les détecteurs de proximité

 

Clavier-NIPEtape 3 : Initialisation d’une session avec le clavier NIP, dont le nom logique est PinPad1

Connexion au clavier NIP
Connexion au clavier NIP

En lisant les informations issues du  clavier, les pirates peuvent alors interagir avec le malware.

 

Etape 4 : Interagir avec les périphériques

Une fois la session ouverte, les APIs WFSExecute ou WFSAsuncExecute peuvent être utilisées pour effectuer des opérations spécifiques comme :

  • Lire les données électroniques stockées sur la carte bancaire, tant les informations contenues sur la piste magnétique que sur la puce, dès qu’une carte bancaire est introduite, via la commande « WFS_CMD_IDC_READ_RAW_DATA ».
Ordonne la lecture de toute les données contenues de la CB
Ordonne la lecture de toute les données contenues de la CB

Les pistes 1 et 2 contiennent les informations comme le nom du détenteur de la carte, le numéro de compte, la date d’expiration, le code PIN encrypté, etc …

cbdescription

 

  • Retenir la carte via la commande WFS_CMD_IDC_RETAIN_CARD ,
SUCEFUL peut garder votre CB
SUCEFUL peut garder votre CB

ouretrait carte SUCEFUL

  • Rejeter la carte via la commande via la commande WFS_CMD_IDC_EJECT_CARD
ou choisir de la rejeter ...
ou choisir de la rejeter …

 

Cela signifie que les pirates peuvent retenir la carte juste le temps qui leur est nécessaire pour voler les données, et garder la carte physique en leur possession, selon leur bon vouloir.

  • Interagir avec le Malware par le biais du clavier : capturer les touches pressées par le biais de l’interaction initiée préalablement (Etape 3) avec le clavier, via la commande WFS_CMD_PIN_GET_DATA.

 

Capture les touches pressées sur le clavier NIP, comme votre code confidentiel
Capture les touches pressées sur le clavier NIP, comme votre code confidentiel

Retrait-DAB

 

  • Interprète la capture : dès que la saisie est lue, une boucle s’exécute afin d’identifier les touches frappées sur le clavier. Dans les lignes de codes présentées ci-dessus, les touches 0 et 1 sont en cours de vérification.En clair, il capture votre code confidentiel.
Vérification et Interprétation des touches frappées sur le clavier
Vérification et Interprétation des touches frappées sur le clavier
  • Inhiber les capteurs et indicateurs d’alarmes

Les connexions (indicateurs) sortantes sont inhibées avant d’empêcher un quelconque déclenchement d’alarme, et les capteurs qui peuvent être contrôlés sont :

  • Allumer/ Eteindre l’alarme sonore
  • alarm-inhibitionAllumer/ Eteindre la lumière qui éclaire les visages
  • Allumer / Eteindre les indicateurs audio
  • Allumer/Eteindre le chauffage interne de l’appareil

Ces contrôles sont effectués par la commande WFS_CMD_SIU_SET_PORTS.

Inhibition des capteurs et alarmes
Inhibition des capteurs et alarmes

La commande  the WFS_CMD_SIU_SET_AUXILIARY règle les indicateurs de fonctions auxiliaires telles que le volume (WFS_SIU_VOLUME), la valeur de la vérification à distance de l’état (WF_SIU_REMOTE_STATUS_MONITOR), la valeur de l’alarme sonore (WFS_SIU_AUDIBLE_ALARM)…

Contrôle des Alarmes et Indicateurs Auxiliaires
Contrôle des Alarmes et Indicateurs Auxiliaires

 

  • Hook-DLLHooking du DLL

Bien que cette technique ne soit pas novatrice, il est intéressant de comprendre la raison d’une telle injection dans un DAB. SUCEFUL détourne l’interface WFSAsyncExecute API, ce qui lui permet de contrôler et de surveiller toutes les commandes émises par les périphériques, via le remplacement des 6 premiers bytes du point d’entrée de l’API  avec une commande push classique <malware_func>, afin de rediriger l’exécution tout en patchant la RVA dans le répertoire qui pointe vers le point d’entrée de WFSAsyncExecute

Hooking et détournement de l’interface WFSAsyncExecute API
Hooking et détournement de l’interface WFSAsyncExecute API

 

SUCEFUL est un malware sophistiqué et particulièrement dangereux, qui vise les DAB de marques différentes, et qui ne menace plus l’industrie bancaire mais les clients !

 

 

infographie Pour voir l’infographie , cliquer sur l’icône

 

Post source : Sources et Crédits photos : « 02_Work_Diebold-Opteva_Carousel1-480x360-web.jpg (Image JPEG, 1024 × 768 pixels) - Redimensionnée (71%) ». Consulté le 20 septembre 2015. https://smartshape.design/uploads/images/_fourByThree/02_Work_Diebold-Opteva_Carousel1-480x360-web.jpg. « 4-512.png (Image PNG, 512 × 512 pixels) ». Consulté le 20 septembre 2015. https://cdn0.iconfinder.com/data/icons/business-in-blue-gray/512/4-512.png. « 5562206887_09e921b466.jpg (Image JPEG, 500 × 333 pixels) ». Consulté le 20 septembre 2015. https://c2.staticflickr.com/6/5264/5562206887_09e921b466.jpg. « alarm.png (Image PNG, 786 × 279 pixels) ». Consulté le 20 septembre 2015. http://charmalarm.com/wp-content/uploads/2014/04/alarm.png. « alarm-sounder-led-beacon-intrinsically-safe-9260-4303349.jpg (Image JPEG, 600 × 813 pixels) - Redimensionnée (67%) ». Consulté le 20 septembre 2015. http://img.directindustry.com/images_di/photo-g/alarm-sounder-led-beacon-intrinsically-safe-9260-4303349.jpg. « atm-6634b.jpg (Image JPEG, 300 × 300 pixels) ». Consulté le 20 septembre 2015. https://www.ftsius.com/wp-content/uploads/2011/12/atm-6634b.jpg. « atm-keypad-11242995.jpg (Image JPEG, 400 × 304 pixels) ». Consulté le 20 septembre 2015. http://thumbs.dreamstime.com/x/atm-keypad-11242995.jpg. « ATM-Thermal-Paper-Rolls-for-Diebold.jpg (Image JPEG, 300 × 225 pixels) ». Consulté le 20 septembre 2015. http://www.pandapaperroll.com/wp-content/uploads/2015/04/ATM-Thermal-Paper-Rolls-for-Diebold.jpg. « Audible-Alarm-Types.jpg (Image JPEG, 400 × 300 pixels) ». Consulté le 20 septembre 2015. https://familynow.com/images/Audible-Alarm-Types.jpg. « bitcoin-atm-finger-web-750x500.jpg (Image JPEG, 750 × 500 pixels) ». Consulté le 20 septembre 2015. https://www.cryptocoinsnews.com/wp-content/uploads/2015/01/bitcoin-atm-finger-web-750x500.jpg. « carte-bleue-effacer-code-securite.jpeg (Image JPEG, 421 × 248 pixels) ». Consulté le 20 septembre 2015. http://etquefaire.fr/images/carte-bleue-effacer-code-securite.jpeg. « cbdescription.png (Image PNG, 858 × 252 pixels) ». Consulté le 20 septembre 2015. http://www.bibmath.net/crypto/moderne/images/cbdescription.png. « Leaked programming manual inspired development malware for ATMsSecurity Affairs ». Consulté le 19 septembre 2015. http://securityaffairs.co/wordpress/29094/cyber-crime/leaked-manual-behind-atms-malware.html. « Malware.jpg (Image JPEG, 300 × 283 pixels) ». Consulté le 20 septembre 2015. http://www.primalsecurity.net/wp-content/uploads/2014/08/Malware.jpg. « malware-ups.jpg (Image JPEG, 1000 × 692 pixels) - Redimensionnée (79%) ». Consulté le 20 septembre 2015. http://www.itespresso.fr/wp-content/uploads/2014/08/malware-ups.jpg. « Metro.jpeg (Image JPEG, 858 × 439 pixels) ». Consulté le 20 septembre 2015. http://www.metronews.fr/_internal/gxml!0/r0dc21o2f3vste5s7ezej9x3a10rp3w$rcvo5gbkgxyzyjoq9q80s9c8sgwwx84/Metro.jpeg. « New Russian ATM Malware Can Steal Your Banking Details ». Consulté le 19 septembre 2015. http://gizmodo.com/new-russian-atm-malware-can-steal-allc-your-banking-det-1731296403. « open-doors.jpg (Image JPEG, 1920 × 1080 pixels) - Redimensionnée (50%) ». Consulté le 20 septembre 2015. https://grantnorsworthy.files.wordpress.com/2015/05/open-doors.jpg. « PIN.jpg (Image JPEG, 640 × 428 pixels) ». Consulté le 20 septembre 2015. http://cdn2.ubergizmo.com/wp-content/uploads/2012/12/PIN.jpg. « slide.jpg (Image JPEG, 500 × 250 pixels) ». Consulté le 20 septembre 2015. http://www.linux.org/attachments/slide-jpg.389/. « SUCEFUL: Next Generation ATM Malware « Threat Research | FireEye Inc ». Consulté le 19 septembre 2015. https://www.fireeye.com/blog/threat-research/2015/09/suceful_next_genera.html. « SUCEFUL, the first multi-vendor ATM malwareSecurity Affairs ». Consulté le 19 septembre 2015. http://securityaffairs.co/wordpress/40086/cyber-crime/suceful-atm-malware.html. « Tyupkin-malware-2.jpg (Image JPEG, 680 × 530 pixels) ». Consulté le 19 septembre 2015. http://securityaffairs.co/wordpress/wp-content/uploads/2014/10/Tyupkin-malware-2.jpg. « wired-for-connection_t_nt.jpg (Image JPEG, 1500 × 1125 pixels) - Redimensionnée (48%) ». Consulté le 20 septembre 2015. http://www.cotrquitman.com/wp-content/uploads/2011/09/wired-for-connection_t_nt.jpg.

Related posts

Leave a Reply