FiXS Malware
Els ciberdelinqüents s'han dirigit als caixers automàtics de Mèxic amb una nova varietat de programari maliciós conegut com FiXS, que permet als atacants dispensar diners en efectiu de les màquines apuntades. Aquest programari maliciós s'ha utilitzat en una sèrie d'atacs que van començar el febrer de 2023.
Segons un informe d'experts en seguretat, les tàctiques utilitzades en aquests atacs són similars a les utilitzades en atacs anteriors per part de Ploutus, un altre tipus de programari maliciós de caixers automàtics que s'adreça als bancs llatinoamericans des del 2013. Una versió actualitzada de Ploutus , que s'adreça específicament als caixers automàtics. produït pel venedor brasiler Itautec, ha estat present a Amèrica Llatina des del 2021.
El programari maliciós FiXS acaba de sortir i actualment està afectant els bancs mexicans. Un cop instal·lat als caixers automàtics, aprofita un conjunt de protocols i API coneguts com a CEN XFS, que permeten als ciberdelinqüents programar els caixers automàtics per dispensar efectiu, ja sigui mitjançant un teclat extern o mitjançant missatgeria SMS. Aquest procés es coneix com a jackpotting. Cal destacar que aquest tipus d'atac pot provocar importants pèrdues financeres tant per als bancs com per als seus clients, així com generar preocupacions sobre la seguretat de les xarxes de caixers automàtics.
La cadena d'atac del programari maliciós FiXS
Una de les característiques principals del programari maliciós FiXS és que permet a l'actor de l'amenaça dispensar efectiu del caixer automàtic 30 minuts després de reiniciar la màquina. Tanmateix, els delinqüents han de tenir accés al caixer automàtic mitjançant un teclat extern.
El programari maliciós conté metadades en escriptura russa o ciríl·lica, i la cadena d'atac comença amb un comptador de programari maliciós anomenat "conhost.exe". Aquest comptagotes identifica el directori temporal del sistema i hi emmagatzema la càrrega útil del programari maliciós FiXS ATM. A continuació, el programari maliciós incrustat es descodifica amb instruccions XOR, i la clau es canvia en cada bucle mitjançant la funció decode_XOR_key(). Finalment, el programari maliciós FiXS ATM es llança mitjançant l'API de Windows "ShellExecute".
El programari maliciós utilitza les API CEN XFS per interactuar amb el caixer automàtic, cosa que el fa compatible amb la majoria dels caixers automàtics basats en Windows amb ajustaments mínims. Els ciberdelinqüents poden utilitzar un teclat extern per interactuar amb el programari maliciós i els mecanismes d'enganxament intercepten les pulsacions de tecles. En un període de 30 minuts després del reinici del caixer automàtic, els delinqüents poden aprofitar la vulnerabilitat del sistema i utilitzar el teclat extern per "escupir diners" del caixer automàtic.
Els investigadors no estan segurs del vector inicial de la infecció. Tanmateix, com que FiXS utilitza un teclat extern similar al Ploutus, també es creu que segueix una metodologia similar. Quan es tracta de Ploutus, una persona amb accés físic al caixer connecta un teclat extern al caixer automàtic per iniciar l'atac.
Jackpotting segueix sent popular entre els grups cibercriminals
Com que els caixers automàtics segueixen sent un component crucial del sistema financer per a les economies basades en efectiu, els atacs de programari maliciós dirigits a aquests dispositius encara són freqüents. Per tant, és crucial que les institucions financeres i els bancs anticipin possibles compromisos amb els dispositius i es concentrin a optimitzar i millorar les seves respostes a aquest tipus d'amenaces. Aquests atacs han tingut un impacte important en diverses regions, com ara Amèrica Llatina, Europa, Àsia i els Estats Units.
Els riscos associats amb aquests atacs són especialment elevats per als models antics de caixers automàtics, ja que són difícils de reparar o substituir i rarament utilitzen programari de seguretat per evitar una degradació encara més del seu rendiment ja deficient.
L'Associació Europea per a Transaccions Segures ha informat d'un total de 202 atacs de jackpotting (ATM Malware & Logical Attacks) dirigits a institucions financeres de la UE el 2020, que van provocar pèrdues d'1,4 milions de dòlars, o al voltant de 7.000 dòlars per atac, segons un informe de 2022 de el Banc de la Reserva Federal d'Atlanta.
