FiXS Malware
Киберпрестъпниците се насочват към банкомати в Мексико с нов вид зловреден софтуер, известен като FiXS, който позволява на нападателите да разпределят пари в брой от целевите машини. Този зловреден софтуер е използван в серия от атаки, започнали през февруари 2023 г.
Според доклад на експерти по сигурността тактиките, използвани при тези атаки, са подобни на тези, използвани при предишни атаки от Ploutus, друг вид зловреден софтуер за банкомати, който е насочен към банки в Латинска Америка от 2013 г. Актуализирана версия на Ploutus , която е насочена конкретно към банкомати произведен от бразилския доставчик Itautec, е разпространен в Латинска Америка от 2021 г. насам.
Зловреден софтуер FiXS току-що излезе и в момента засяга мексиканските банки. Веднъж инсталиран на банкоматите, той се възползва от набор от протоколи и API, известни като CEN XFS, който позволява на киберпрестъпниците да програмират банкоматите да издават пари в брой, или чрез външна клавиатура, или чрез SMS съобщения. Този процес е известен като джакпот. Трябва да се отбележи, че този тип атака може да причини значителни финансови загуби както за банките, така и за техните клиенти, както и да породи опасения за сигурността на банкоматните мрежи.
Веригата от атаки на зловредния софтуер FiXS
Една от основните характеристики на злонамерения софтуер FiXS е, че позволява на заплахата да раздава пари в брой от банкомата 30 минути след като машината е била рестартирана. Престъпниците обаче трябва да имат достъп до банкомата чрез външна клавиатура.
Злонамереният софтуер съдържа метаданни на руски или кирилица, а веригата на атаката започва с капкомер за зловреден софтуер, наречен „conhost.exe“. Този капкомер идентифицира временната директория на системата и съхранява полезния товар от зловреден софтуер FiXS ATM там. След това вграденият зловреден софтуер се декодира с инструкция XOR, като ключът се променя във всеки цикъл чрез функцията decode_XOR_key(). И накрая, зловредният софтуер FiXS ATM се стартира чрез Windows API „ShellExecute“.
Зловреден софтуер използва CEN XFS API за взаимодействие с банкомата, което го прави съвместим с повечето банкомати, базирани на Windows, с минимални корекции. Киберпрестъпниците могат да използват външна клавиатура, за да взаимодействат със зловреден софтуер, а механизмите за закачане прихващат натисканията на клавиши. В рамките на 30 минути след рестартиране на банкомата престъпниците могат да се възползват от уязвимостта на системата и да използват външната клавиатура, за да „изплюят пари“ от банкомата.
Изследователите не са сигурни за първоначалния вектор на инфекцията. Въпреки това, тъй като FiXS използва външна клавиатура, подобна на Ploutus, също се смята, че следва подобна методология. Когато става въпрос за Ploutus, човек с физически достъп до банкомата свързва външна клавиатура към банкомата, за да инициира атаката.
Джакпотингът все още е популярен сред киберпрестъпните групи
Тъй като банкоматите остават ключов компонент на финансовата система за икономики, базирани на пари в брой, атаките със зловреден софтуер, насочени към тези устройства, все още са преобладаващи. Ето защо е изключително важно за финансовите институции и банките да предвидят потенциални компромиси на устройства и да се концентрират върху оптимизирането и подобряването на отговорите си на тези видове заплахи. Тези атаки имаха значително въздействие върху различни региони, включително Латинска Америка, Европа, Азия и Съединените щати.
Рисковете, свързани с тези атаки, са особено високи за по-старите модели банкомати, тъй като те са трудни за ремонт или замяна и рядко използват софтуер за сигурност, за да предотвратят по-нататъшно влошаване на и без това слабата им производителност.
Европейската асоциация за сигурни транзакции отчете общо 202 успешни атаки с джакпот (зловреден софтуер и логически атаки на банкомати), насочени към финансови институции в ЕС през 2020 г., което е довело до загуби от 1,4 милиона долара, или около 7000 долара на атака, според доклад от 2022 г. Федералната резервна банка на Атланта.
