病毒定义
病毒类型:病毒/恶意软件
又名:Backdoor.MSIL.Tyupkin
什么是 Tyupkin?
Tyupkin 是一种恶意软件,让网络犯罪分子可以通过直接操纵将自动提款机洗劫一空。这种恶意软件由卡巴斯基实验室发现,又名 Backdoor.MSIL.Tyupkin,可以影响由重要 ATM 制造商生产并运行 Microsoft Windows 32 位系统的 ATM。
病毒威胁详情
犯罪分子攻击分为两个阶段:
第 1 阶段 – 使用和感染
首先,他们实际使用一台 ATM,然后插入一张可引导光盘以安装恶意软件,代号为 Tyupkin (Backdoor.MSIL.Tyupkin)。重启 ATM 系统后,受感染的 ATM 控制权就转移到他们手中。
第 2 阶段 – 操控和盗窃
受感染的 ATM 随后进入等待指令的无限循环。为了更好地隐藏这种犯罪行为,Tyupkin 恶意软件只在周日和周一晚上的特定时间接受命令。在这段时间内,网络犯罪分子能够窃取受感染机器中的现金。
方法
通过受感染 ATM 的安全摄像头获得的视频画面显示了从提款机取现的方法。每个会话会新生成一串基于随机数字的唯一数字组合密钥。这是为了确保犯罪集团以外的人不会利用这个方法获利。随后,窃贼通过手机从另一名了解算法并且能够根据显示出来的数字生成会话密钥的窃贼那里得到进一步的指示。这可以确保提取现金的帮凶不会独吞。
输入正确的密钥后,ATM 的屏幕上会显示当前 ATM 的每个钞箱里有多少现金,并且询问窃贼要抢劫哪个钞箱。完成选择后,ATM 每次会从所选钞箱中吐出 40 张钞票。
哪些地区发生了 Tyupkin 病毒感染 ATM 机的事件?
根据 VirusTotal 的统计,以下国家提交过恶意软件样本:
Tyupkin 恶意软件活跃的国家
针对运营商/银行的 ATM 安全建议
- 审查 ATM 机的物理安全,考虑购买高质量的安全解决方案。
- ATM 机上部机罩的锁和万能钥匙全部更换,不要使用制造商原配的锁和钥匙。
- 安装警报器并确保能够正常工作。Tyupkin 幕后的网络犯罪分子仅感染未安装安全警报系统的 ATM。
- 更改默认 BIOS 密码。
- 确保 ATM 机安装最新的恶意软件防护产品
- 警惕犯罪分子发起的社会工程攻击可能伪装成检查员或安全警报器、安全摄像头或部署的其他设备。
- 认真对待入侵警报,向执法部门报告任何潜在的违法犯罪活动。
- 有关如何验证您的 ATM 机目前是否受到感染的说明,请通过 intelreports@kaspersky.com 联系卡巴斯基。若要全面扫描 ATM 系统并删除此后门,请使用免费的卡巴斯基病毒移除工具(可在此处下载)。