FiXS Malware

Cyberkriminelle har været rettet mod pengeautomater i Mexico med en ny stamme af malware kendt som FiXS, som gør det muligt for angribere at uddele penge fra de målrettede maskiner. Denne malware er blevet brugt i en række angreb, der begyndte i februar 2023.

Ifølge en rapport fra sikkerhedseksperter ligner de anvendte taktikker i disse angreb dem, der blev brugt i tidligere angreb af Ploutus, en anden type ATM-malware, der har været rettet mod latinamerikanske banker siden 2013. En opdateret version af Ploutus , som specifikt er rettet mod pengeautomater. produceret af den brasilianske leverandør Itautec, har været udbredt i Latinamerika siden 2021.

FiXS-malwaren er netop ude og påvirker i øjeblikket mexicanske banker. Når den først er installeret på pengeautomaterne, udnytter den en række protokoller og API'er kendt som CEN XFS, som gør det muligt for cyberkriminelle at programmere pengeautomaterne til at uddele kontanter, enten via et eksternt tastatur eller via SMS-beskeder. Denne proces er kendt som jackpotting. Det er bemærkelsesværdigt, at denne type angreb kan forårsage betydelige økonomiske tab for både bankerne og deres kunder, samt give anledning til bekymringer om sikkerheden i ATM-netværk.

FiXS Malwares angrebskæde

En af hovedfunktionerne ved FiXS-malwaren er, at den gør det muligt for trusselsaktøren at udlevere kontanter fra pengeautomaten 30 minutter efter, at maskinen er blevet genstartet. Kriminelle skal dog have adgang til hæveautomaten via et eksternt tastatur.

Malwaren indeholder metadata i russisk eller kyrillisk skrift, og angrebskæden begynder med en malware-dropper kaldet 'conhost.exe'. Denne dropper identificerer systemets midlertidige mappe og gemmer FiXS ATM malware-nyttelasten der. Den indlejrede malware afkodes derefter med XOR-instruktion, hvor nøglen ændres i hver løkke via funktionen decode_XOR_key(). Endelig lanceres FiXS ATM malware via 'ShellExecute' Windows API.

Malwaren bruger CEN XFS API'erne til at interagere med pengeautomaten, hvilket gør den kompatibel med de fleste Windows-baserede pengeautomater med minimale justeringer. Cyberkriminelle kan bruge et eksternt tastatur til at interagere med malwaren, og tilslutningsmekanismerne opsnapper tastetrykkene. Inden for et 30-minutters vindue efter, at pengeautomaten er genstartet, kan kriminelle drage fordel af systemets sårbarhed og bruge det eksterne tastatur til at 'spytte penge ud' fra pengeautomaten.

Forskere er usikre på den oprindelige vektor for infektion. Men da FiXS bruger et eksternt tastatur, der ligner Ploutus, menes det også at følge en lignende metode. Når det kommer til Ploutus, forbinder en person med fysisk adgang til pengeautomaten et eksternt tastatur til pengeautomaten for at igangsætte angrebet.

Jackpotting er stadig populært blandt cyberkriminelle grupper

Da pengeautomater fortsat er en afgørende komponent i det finansielle system for pengebaserede økonomier, er malware-angreb rettet mod disse enheder stadig udbredt. Derfor er det afgørende for finansielle institutioner og banker at forudse potentielle enhedskompromiser og koncentrere sig om at optimere og forbedre deres reaktioner på disse typer trusler. Disse angreb har haft en betydelig indvirkning på forskellige regioner, herunder Latinamerika, Europa, Asien og USA.

Risikoen forbundet med disse angreb er særlig høj for ældre ATM-modeller, da de er udfordrende at reparere eller erstatte og sjældent bruger sikkerhedssoftware til at forhindre yderligere forringelse af deres i forvejen dårlige ydeevne.

European Association for Secure Transactions har rapporteret i alt 202 vellykkede jackpot-angreb (ATM Malware & Logical Attacks) rettet mod finansielle institutioner i EU i 2020, hvilket resulterede i tab på $1,4 millioner, eller omkring $7.000 pr. angreb, ifølge en rapport fra 2022 af Federal Reserve Bank of Atlanta.