Un échantillon du malware Ripper a été chargé la semaine dernière dans la base de données VirusTotal depuis une adresse IP localisée en Thaïlande, peu de temps avant l’annonce par les médias locaux du vol de 12 millions de bahts (313 000 euros) dans 21 distributeurs automatiques de billets par des pirates informatiques. Comme l’a rapporté le Bangkok Post la semaine dernière, cet incident a obligé la National Savings Bank à fermer temporairement l'ensemble de ses distributeurs automatiques de billets le temps de demander au fabricant de vérifier la présence du malware. « À part l'échantillon Ripper provenant de Thaïlande, d'autres indicateurs laissent penser que ce programme est identique à celui utilisé par les pirates pour détrousser les DAB thaïlandais », ont déclaré vendredi dans un blog les chercheurs en sécurité de FireEye.

Selon leur analyse, le malware Ripper cible les distributeurs de la même marque que les DAB thaïlandais, plus ceux de deux autres fabricants. Selon certaines sources publiques, comme dans le cas du vol survenu en Thaïlande, le programme désactive l'interface de réseau local du DAB. Elles précisent aussi que l'échantillon a été compilé le 10 juillet, soit un mois environ avant l’annonce publique du piratage. Une fois installé sur un distributeur de billets, Ripper attend que les attaquants insèrent une carte à puce spécialement programmée. Cette procédure, utilisée pour l'authentification, a déjà été employée par le passé par d'autres logiciels malveillants ciblant les DAB. Une fois authentifié, l'attaquant peut demander au distributeur de sortir jusqu'à 40 billets de banque de son coffre.

 Ripper possède également d'autres caractéristiques déjà observées dans d’anciens programmes malveillants ciblant les distributeurs de billets, notamment les fonctions Padpin (Tyupkin), et SUCEFULand GreenDispenser. Selon les chercheurs de FireEye, le malware dispose d'une option de suppression sécurisée qui permet de détruire les preuves de l’infraction. Le malware peut être déployé de différentes façons. La première méthode repose sur la complicité du personnel technique travaillant dans les services d’entretien des distributeurs automatiques de billets. Mais il est possible d’introduire le malware en accédant aux ports CD-ROM ou USB du DAB après avoir retiré le capot avec des clefs spéciales que l’on peut acheter en ligne. Mais, cette seconde solution ne convient pas aux distributeurs automatiques installés à l'extérieur, dans des lieux exposés, ce qui semble avoir été le cas en Thaïlande.