{"id":4962,"date":"2014-10-07T11:10:19","date_gmt":"2014-10-07T11:10:19","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=4962"},"modified":"2019-11-22T11:38:30","modified_gmt":"2019-11-22T09:38:30","slug":"tyupkin-malware-bancomat","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/tyupkin-malware-bancomat\/4962\/","title":{"rendered":"Bancomat infettati da un Trojan elargivano milioni di dollari"},"content":{"rendered":"

Di cosa abbiamo bisogno per prelevare da un bancomat? Innanzitutto di una carta di credito o di debito, la chiave di accesso al nostro conto bancario. Poi dobbiamo inserire il codice PIN della carta, senza il quale la banca non approva la transazione. Infine, \u00e8 necessario disporre di denaro sul conto. Nel caso di alcuni hacker le cose vanno un po\u2019 diversamente: niente carte di credito, n\u00e9 di codici PIN o denaro sul conto. In realt\u00e0 hanno solo bisogno di un bancomat dal quale prelevare e un software speciale.<\/p>\n

All\u2019inizio di quest\u2019anno, su richiesta di un istituto bancario, i nostri colleghi del Global Research and Analysis Team (GreAT) hanno portato avanti uno studio forense riguardante un attacco informatico che aveva come obiettivo vari bancomat sparsi nell\u2019Europa dell\u2019Est. Le scoperte che hanno fatto sono state davvero interessanti. Immaginiamo la scena: una persona si avvicina a un bancomat, digita un codice sullo schermo e quasi all\u2019istante ottiene 40 banconote, poi altro denaro un\u2019altra volta e un\u2019altra ancora. Come \u00e8 possibile? I nostri esperti ritengono che sia colpa del Trojan Tyupkin che infetta il sistema operativo del bancomat e lo costringe a elargire banconote se inserito un codice speciale.<\/p>\n

Alcuni hacker sono riusciti a prelevare denaro da decine di bancomat.<\/p>Tweet<\/a><\/blockquote>\n

\"\"<\/p>\n

Come dimostra lo studio, i cybercriminali sono riusciti in qualche modo ad accedere fisicamente al bancomat per potervi installare il malware attraverso un CD avviabile sul computer Windows dello sportello. Il Trojan ha delle caratteristiche interessanti. Innanzitutto, dal momento che si attiva su un bancomat, \u00e8 in grado di disabilitare il software antivirus McAfee Solidcare per svolgere il suo compito indisturbato.<\/p>\n

In secondo luogo, per evitare di essere individuato anche solo per sbaglio, il Trojan pu\u00f2 rimanere in stand-by durante la settimana e attivarsi solo il fine settimana. Infine, in caso di emergenza, riesce a disabilitare la rete locale; in questo modo, l\u2019ente bancario non pu\u00f2 connettersi in remoto al bancomat colpito per capire cosa stia succedendo.<\/p>\n

\"\"<\/p>\n

Ai cybercriminali \u00e8 bastato soltanto digitare un paio di codici sul bancomat infetto\u2026. e hanno avuto subito i soldi!<\/div>\n

Grazie a queste caratteristiche, il cybercriminale non deve fare altro che recarsi al bancomat infetto, digitare un codice specifico per accedere al menu segreto che gli consente di prelevare denaro o di gestire il Trojan (ad esempio, nel caso decida di eliminarlo). Per prelevare, il cybercriminale non solo deve eseguire determinati comandi, ma deve anche saper utilizzare una formula speciale per calcolare una key session, una sorta di sistema di autenticazione a doppio fattore. Se entrambi i codici sono esatti, compare un secondo menu grazie al quale il cybercriminale pu\u00f2 scegliere il numero dello sportello automatico e prelevare il denaro. A parte il piccolo \u201cproblema\u201d che si possono prelevare solo 40 banconote per volta, si pu\u00f2 ottenere una quantit\u00e0 qualsiasi di denaro, basta soltanto effettuare pi\u00f9 volte l\u2019operazione appena descritta.<\/p>\n