A Kaspersky Lab kedden jelentette be, hogy idén pénzintézeti felkérésre vizsgálatot folytattak kelet-európai, kiberbűnözői támadások áldozatául esett pénzkiadó automaták, ATM-ek ügyében. Ennek során egy kártékony kódot, egy malware-t fedeztek fel, amely lehetővé tette, hogy bűnözők kiürítsék az automata pénzkazettáit. A vizsgálat idején több mint ötven ATM-en találták meg az aktív malware-t, de a VirusTotal mintái alapján úgy sejtik, hogy a vírus megjelenhetett más országokban, pl. az Egyesült Államokban, Indiában és Kínában is.

A kódnak a Kasperskynél a Backdoor.MSIL.Tyupkin nevet adták. A híradás szerint egy nagy ATM-gyártó gépeit érinti a fertőzéssorozat, de ennek nevét nem tették közzé, csak azt jelezték, hogy az adott gépeken a Windows 32 bites verziója fut.

A malware a bűnözők számára viszonylag egyszerűen működik: alapértelmezésben csak vasárnap és hétfő éjszaka aktív, ekkor kell a pénzért menni. A belépéshez kódra van szükség. Ha ezt helyesen adják meg, akkor a vírus egy kezelőképernyőn kiírja a pénzkazettákban található pénz mennyiségét, majd egy újabb, a bűnöző által ismert algoritmus alapján generált kód megadása után negyvenesével gyakorlatilag az összes pénz felvehető a kazettából.

A vírus telepítéséhez fizikailag is hozzá kell férni a géphez, mivel a bevitel egy boot CD-ről történik, és újraindítást igényel.

A Kaspersky az érintett bankoknak azt javasolja, hogy az összes fontos kulcsot cseréljék le az ATM-eken.