FiXS Malware

استهدف مجرمو الإنترنت أجهزة الصراف الآلي في المكسيك بسلسلة جديدة من البرامج الضارة المعروفة باسم FiXS ، والتي تتيح للمهاجمين صرف الأموال من الأجهزة المستهدفة. تم استخدام هذا البرنامج الضار في سلسلة من الهجمات التي بدأت في فبراير 2023.

وفقًا لتقرير صادر عن خبراء أمنيين ، فإن التكتيكات المستخدمة في هذه الهجمات مماثلة لتلك المستخدمة في الهجمات السابقة من قبل Ploutus ، وهو نوع آخر من البرامج الضارة لأجهزة الصراف الآلي التي تستهدف بنوك أمريكا اللاتينية منذ عام 2013. نسخة محدثة من Ploutus ، والتي تستهدف على وجه التحديد أجهزة الصراف الآلي. أنتج من قبل البائع البرازيلي Itautec ، وانتشر في جميع أنحاء أمريكا اللاتينية منذ عام 2021.

لقد انتهى للتو برنامج FiXS الضار ويؤثر حاليًا على البنوك المكسيكية. بمجرد تثبيته على أجهزة الصراف الآلي ، فإنه يستفيد من مجموعة من البروتوكولات وواجهات برمجة التطبيقات المعروفة باسم CEN XFS ، والتي تسمح لمجرمي الإنترنت ببرمجة أجهزة الصراف الآلي لصرف الأموال ، إما عبر لوحة مفاتيح خارجية أو عن طريق الرسائل النصية القصيرة. تُعرف هذه العملية بالجائزة الكبرى. يشار إلى أن هذا النوع من الهجوم يمكن أن يتسبب في خسائر مالية كبيرة لكل من البنوك وعملائها ، وكذلك يثير مخاوف بشأن أمن شبكات الصراف الآلي.

سلسلة هجوم برنامج FiXS الضار

تتمثل إحدى الميزات الرئيسية لبرنامج FiXS الضار في أنه يُمكِّن ممثل التهديد من صرف النقود من أجهزة الصراف الآلي بعد 30 دقيقة من إعادة تشغيل الجهاز. ومع ذلك ، يجب أن يتمكن المجرمون من الوصول إلى أجهزة الصراف الآلي عبر لوحة مفاتيح خارجية.

تحتوي البرامج الضارة على بيانات وصفية مكتوبة بخط روسي أو سيريلي ، وتبدأ سلسلة الهجوم بقطارة برامج ضارة تسمى "conhost.exe". يحدد هذا القطارة الدليل المؤقت للنظام ويخزن حمولة البرامج الضارة لـ FiXS ATM هناك. يتم بعد ذلك فك تشفير البرنامج الضار المضمن بتعليمات XOR ، مع تغيير المفتاح في كل حلقة عبر وظيفة decode_XOR_key (). أخيرًا ، يتم تشغيل البرامج الضارة لـ FiXS ATM عبر واجهة برمجة تطبيقات Windows "ShellExecute".

تستخدم البرامج الضارة واجهات برمجة تطبيقات CEN XFS للتفاعل مع أجهزة الصراف الآلي ، مما يجعلها متوافقة مع معظم أجهزة الصراف الآلي التي تعمل بنظام Windows مع الحد الأدنى من التعديلات. يمكن لمجرمي الإنترنت استخدام لوحة مفاتيح خارجية للتفاعل مع البرامج الضارة ، وتعترض آليات التثبيت ضغطات المفاتيح. في غضون 30 دقيقة بعد إعادة تشغيل أجهزة الصراف الآلي ، يمكن للمجرمين الاستفادة من ضعف النظام واستخدام لوحة المفاتيح الخارجية "لإخراج الأموال" من أجهزة الصراف الآلي.

الباحثون غير متأكدين من الناقل الأولي للعدوى. ومع ذلك ، نظرًا لأن FiXS تستخدم لوحة مفاتيح خارجية مشابهة لـ Ploutus ، يُعتقد أيضًا أنها تتبع منهجية مماثلة. عندما يتعلق الأمر بـ Ploutus ، يقوم الشخص الذي لديه وصول مادي إلى جهاز الصراف بتوصيل لوحة مفاتيح خارجية بجهاز الصراف الآلي لبدء الهجوم.

لا يزال الفوز بالجائزة الكبرى شائعًا بين مجموعات مجرمي الإنترنت

نظرًا لأن أجهزة الصراف الآلي لا تزال مكونًا حاسمًا في النظام المالي للاقتصادات القائمة على النقد ، فإن هجمات البرامج الضارة التي تستهدف هذه الأجهزة لا تزال سائدة. لذلك ، من الأهمية بمكان بالنسبة للمؤسسات المالية والبنوك توقع التسويات المحتملة للأجهزة والتركيز على تحسين استجاباتها لهذه الأنواع من التهديدات وتحسينها. كان لهذه الهجمات تأثير كبير على مناطق مختلفة ، بما في ذلك أمريكا اللاتينية وأوروبا وآسيا والولايات المتحدة.

تعتبر المخاطر المرتبطة بهذه الهجمات عالية بشكل خاص بالنسبة لنماذج أجهزة الصراف الآلي القديمة ، حيث إنها تمثل تحديًا للإصلاح أو الاستبدال ونادرًا ما تستخدم برامج الأمان لمنع المزيد من التدهور في أدائها الضعيف بالفعل.

أبلغت الرابطة الأوروبية للمعاملات الآمنة عن ما مجموعه 202 هجومًا ناجحًا (هجمات برمجيات خبيثة وهجمات منطقية على أجهزة الصراف الآلي) استهدفت المؤسسات المالية في الاتحاد الأوروبي في عام 2020 ، مما أدى إلى خسائر قدرها 1.4 مليون دولار ، أو حوالي 7000 دولار لكل هجوم ، وفقًا لتقرير صدر عام 2022. بنك الاحتياطي الفيدرالي في أتلانتا.