FiXS Malware

সাইবার অপরাধীরা ফিক্সএস নামে পরিচিত ম্যালওয়্যারের একটি নতুন স্ট্রেন দিয়ে মেক্সিকোতে এটিএমগুলিকে লক্ষ্যবস্তু করছে, যা আক্রমণকারীদের লক্ষ্যযুক্ত মেশিন থেকে নগদ বিতরণ করতে দেয়। এই ম্যালওয়্যারটি 2023 সালের ফেব্রুয়ারিতে শুরু হওয়া আক্রমণের একটি সিরিজে ব্যবহার করা হয়েছে।

নিরাপত্তা বিশেষজ্ঞদের একটি প্রতিবেদন অনুসারে, এই আক্রমণগুলিতে ব্যবহৃত কৌশলগুলি Ploutus-এর পূর্ববর্তী আক্রমণগুলিতে ব্যবহৃত কৌশলগুলির অনুরূপ, এটিএম ম্যালওয়্যারের আরেকটি প্রকার যা 2013 সাল থেকে ল্যাটিন আমেরিকান ব্যাঙ্কগুলিকে লক্ষ্য করে চলেছে৷ Ploutus- এর একটি আপডেট সংস্করণ, যা বিশেষভাবে এটিএমগুলিকে লক্ষ্য করে৷ ব্রাজিলিয়ান বিক্রেতা Itautec দ্বারা উত্পাদিত, 2021 সাল থেকে ল্যাটিন আমেরিকা জুড়ে প্রচলিত।

FiXS ম্যালওয়্যার সবেমাত্র আউট এবং বর্তমানে মেক্সিকান ব্যাঙ্কগুলিকে প্রভাবিত করছে৷ এটিএম-এ একবার ইনস্টল হয়ে গেলে, এটি CEN XFS নামে পরিচিত প্রোটোকল এবং API-এর স্যুটের সুবিধা নেয়, যা সাইবার অপরাধীদের এটিএম-কে নগদ বিতরণ করার জন্য প্রোগ্রাম করার অনুমতি দেয়, হয় বহিরাগত কীবোর্ডের মাধ্যমে বা এসএমএস মেসেজিংয়ের মাধ্যমে। এই প্রক্রিয়া জ্যাকপটিং নামে পরিচিত। এটা লক্ষণীয় যে এই ধরনের আক্রমণ ব্যাঙ্ক এবং তাদের গ্রাহকদের উভয়ের জন্য উল্লেখযোগ্য আর্থিক ক্ষতির কারণ হতে পারে, সেইসাথে এটিএম নেটওয়ার্কগুলির নিরাপত্তা নিয়ে উদ্বেগ বাড়াতে পারে।

FiXS ম্যালওয়্যারের অ্যাটাক চেইন

FiXS ম্যালওয়্যারের প্রধান বৈশিষ্ট্যগুলির মধ্যে একটি হল যে এটি হুমকি অভিনেতাকে মেশিনটি রিবুট করার 30 মিনিট পরে এটিএম থেকে নগদ বিতরণ করতে সক্ষম করে। যাইহোক, অপরাধীদের অবশ্যই একটি বহিরাগত কীবোর্ডের মাধ্যমে এটিএম-এ অ্যাক্সেস থাকতে হবে।

ম্যালওয়্যারটিতে রাশিয়ান বা সিরিলিক স্ক্রিপ্টে মেটাডেটা রয়েছে এবং আক্রমণের চেইনটি 'conhost.exe' নামে একটি ম্যালওয়্যার ড্রপার দিয়ে শুরু হয়৷ এই ড্রপারটি সিস্টেমের অস্থায়ী ডিরেক্টরি সনাক্ত করে এবং সেখানে FiXS ATM ম্যালওয়্যার পেলোড সঞ্চয় করে। এমবেডেড ম্যালওয়্যারকে তারপর XOR নির্দেশের সাথে ডিকোড করা হয়, প্রতিটি লুপে decode_XOR_key() ফাংশনের মাধ্যমে কী পরিবর্তন করা হয়। অবশেষে, FiXS ATM ম্যালওয়্যারটি 'ShellExecute' Windows API এর মাধ্যমে চালু করা হয়েছে।

ম্যালওয়্যারটি এটিএম-এর সাথে যোগাযোগ করতে CEN XFS API ব্যবহার করে, যা এটিকে ন্যূনতম সমন্বয় সহ বেশিরভাগ উইন্ডোজ-ভিত্তিক এটিএম-এর সাথে সামঞ্জস্যপূর্ণ করে তোলে। সাইবার অপরাধীরা ম্যালওয়্যারের সাথে ইন্টারঅ্যাক্ট করার জন্য একটি বাহ্যিক কীবোর্ড ব্যবহার করতে পারে এবং হুকিং মেকানিজম কীস্ট্রোকগুলিকে বাধা দেয়। এটিএম রিবুট হওয়ার পরে 30-মিনিটের মধ্যে, অপরাধীরা সিস্টেমের দুর্বলতার সুযোগ নিতে পারে এবং এটিএম থেকে 'টাকা থুতু' করতে বাহ্যিক কীবোর্ড ব্যবহার করতে পারে।

গবেষকরা সংক্রমণের প্রাথমিক ভেক্টর সম্পর্কে অনিশ্চিত। যাইহোক, যেহেতু FiXS Ploutus এর মতো একটি বহিরাগত কীবোর্ড ব্যবহার করে, তাই এটিও একই পদ্ধতি অনুসরণ করে বলে মনে করা হয়। যখন এটি Ploutus আসে, টেলার মেশিনে শারীরিক অ্যাক্সেস সহ একজন ব্যক্তি আক্রমণ শুরু করার জন্য এটিএম-এর সাথে একটি বহিরাগত কীবোর্ড সংযুক্ত করেন।

জ্যাকপটিং এখনও সাইবার অপরাধী গ্রুপের মধ্যে জনপ্রিয়

যেহেতু এটিএমগুলি নগদ-ভিত্তিক অর্থনীতির জন্য আর্থিক ব্যবস্থার একটি গুরুত্বপূর্ণ উপাদান হিসাবে রয়ে গেছে, এই ডিভাইসগুলিকে লক্ষ্য করে ম্যালওয়্যার আক্রমণগুলি এখনও প্রচলিত রয়েছে৷ অতএব, আর্থিক প্রতিষ্ঠান এবং ব্যাঙ্কগুলির জন্য সম্ভাব্য ডিভাইস আপসের পূর্বাভাস দেওয়া এবং এই ধরনের হুমকির প্রতি তাদের প্রতিক্রিয়া অপ্টিমাইজ করা এবং উন্নত করার দিকে মনোনিবেশ করা অত্যন্ত গুরুত্বপূর্ণ৷ লাতিন আমেরিকা, ইউরোপ, এশিয়া এবং মার্কিন যুক্তরাষ্ট্র সহ বিভিন্ন অঞ্চলে এই আক্রমণগুলি উল্লেখযোগ্য প্রভাব ফেলেছে।

এই আক্রমণগুলির সাথে যুক্ত ঝুঁকিগুলি বিশেষত পুরানো ATM মডেলগুলির জন্য বেশি, কারণ তারা মেরামত বা প্রতিস্থাপন করা চ্যালেঞ্জিং এবং খুব কমই নিরাপত্তা সফ্টওয়্যার ব্যবহার করে তাদের ইতিমধ্যে দুর্বল কর্মক্ষমতার আরও অবনতি রোধ করতে।

ইউরোপীয় অ্যাসোসিয়েশন ফর সিকিউর ট্রানজ্যাকশন 2020 সালে ইইউতে আর্থিক প্রতিষ্ঠানকে লক্ষ্য করে মোট 202টি সফল জ্যাকপটিং আক্রমণ (এটিএম ম্যালওয়্যার এবং লজিক্যাল অ্যাটাকস) রিপোর্ট করেছে, যার ফলে 1.4 মিলিয়ন ডলার বা প্রতি আক্রমণে প্রায় $7,000 ক্ষতি হয়েছে, 2022 সালের রিপোর্ট অনুসারে আটলান্টা ফেডারেল রিজার্ভ ব্যাংক।