Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Kaspersky Lab: Diebe spielen Malware über CD-Laufwerk auf Geldautomaten

Geldautomaten von NCR haben ein CD-Laufwerk, über das sich Schadcode installieren lässt. So wurden weltweit Geldbeträge in Millionenhöhe erbeutet, berichtet Kaspersky Lab .
/ Achim Sawall
57 Kommentare News folgen (öffnet im neuen Fenster)
Kaspersky führt befallenden Geldautomaten vor. (Bild: Kaspersky/Screenshot: Golem.de)
Kaspersky führt befallenden Geldautomaten vor. Bild: Kaspersky/Screenshot: Golem.de

Diebe haben einen Weg gefunden, Zugriff auf das CD-Laufwerk von NCR-Geldautomaten zu bekommen. Wie die russischen Sicherheitsexperten von Kaspersky Lab unter Berufung auf Überwachungskameras berichten(öffnet im neuen Fenster) , legen die Täter eine bootfähige CD ein, die die Schadsoftware Tyupkin aufspielt. So seien Geldautomaten auf der ganzen Welt angegriffen(öffnet im neuen Fenster) und Geldbeträge in Millionenhöhe erbeutet worden.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Team-Lead IT (m/w/d) Wohnungsgenossenschaft Freiberg eG, Freiberg (öffnet im neuen Fenster)
Spezialist:in CRM und Datenmanagement (Vollzeit/Teilzeit) Sparkasse Düren, Düren (öffnet im neuen Fenster)
Mitarbeiter (m/w/d) für den Aufbau der Anwenderbetreuung Digital Waste Shipment System (DIWASS) GOES mbH, Neumünster (öffnet im neuen Fenster)
Softwareentwickler (m/w/d) HEUFT SYSTEMTECHNIK GMBH, Burgbrohl (öffnet im neuen Fenster)
IT-Administrator (m/w/d) Schwerpunkt Linux-Infrastruktur Honda, Offenbach am Main (öffnet im neuen Fenster)
Devops-Engineer Container-Orchestrierung - K8S/Rancher (m/w/d) Vollzeit / Teilzeit Abrechnungszentrum Emmendingen, Stuttgart (öffnet im neuen Fenster)
Mitarbeiter*in digitale Anwendungsprüfung (m/w/d) DevFresh GmbH, Berlin (öffnet im neuen Fenster)
SAP SCM-Consultant MM-MW-MDM (m/w/d) Dürr CTS GmbH, Bietigheim-Bissingen (öffnet im neuen Fenster)

Diese neue Malware, die Kaspersky als Backdoor.MSIL.Tyupkin erkennt, läuft auf Geldautomaten, auf denen Microsoft Windows in einer 32-Bit-Version installiert ist.

Nach mehreren Umgebungs-Checks entfernt das Schadprogramm die .lnk-Datei und erstellt einen Schlüssel in der Registry. Die Malware ist dann in der Lage, mit Geldautomaten über die Standardbibliothek MSXFS.dll, eine Erweiterung für Finanzdienste (XFS), zu kommunizieren. Die Schadsoftware läuft in einer Endlosschleife und wartet auf Eingaben des Nutzers.

Um die Erkennung zu erschweren, nimmt Tyupkin nur sonntags und montags in der Nacht Befehle entgegen. Für jede Sitzung wird zunächst eine Kombination aus zufälligen Zahlen generiert. Anschließend erhält der Täter, der den Diebstahl ausführt, Anweisungen über das Telefon von einem anderen Mitglied der Gruppe. Dieser kennt den Algorithmus und kann einen Schlüssel für die jeweilige Sitzung auf Basis der angezeigten Nummern generieren.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Wenn der Schlüssel korrekt eingegeben wurde, zeigt der Geldautomat an, wie viel Bargeld in jeder Geldkassette verfügbar ist, und fordert dazu auf, eine Kassette zu wählen. Danach gibt der Geldautomat jeweils 40 Banknoten von der ausgewählten Kassette aus.

Kaspersky empfiehlt Finanzinstitutionen und Organisationen, die Geldautomaten vor Ort betreiben, die physische Sicherheit zu überprüfen: "Installieren Sie Alarmanlagen an den Geldautomaten und stellen Sie sicher, dass sie auch funktionieren. Beobachtungen zufolge infizierten die Tyupkin-Cyberkriminellen nur Geldautomaten ohne Alarmanlagen." Die Standard Upper Pool Lock und die Standard-Schlüssel in allen Geldautomaten sollten verändert und die Verwendung von Master-Keys vom Hersteller vermieden werden.

Zur Startseite 57 Kommentare

Relevante Themen

SoftwareToolsSecurityCybercrimeDatensicherheitCDVirusMalware