FiXS Malware

Οι κυβερνοεγκληματίες στοχεύουν τα ΑΤΜ στο Μεξικό με ένα νέο είδος κακόβουλου λογισμικού γνωστό ως FiXS, το οποίο επιτρέπει στους εισβολείς να διανέμουν μετρητά από τα στοχευμένα μηχανήματα. Αυτό το κακόβουλο λογισμικό έχει χρησιμοποιηθεί σε μια σειρά επιθέσεων που ξεκίνησαν τον Φεβρουάριο του 2023.

Σύμφωνα με έκθεση ειδικών ασφαλείας, οι τακτικές που χρησιμοποιήθηκαν σε αυτές τις επιθέσεις είναι παρόμοιες με αυτές που χρησιμοποιήθηκαν σε προηγούμενες επιθέσεις από την Ploutus, έναν άλλο τύπο κακόβουλου λογισμικού ATM που στοχεύει τράπεζες της Λατινικής Αμερικής από το 2013. Μια ενημερωμένη έκδοση του Ploutus , η οποία στοχεύει συγκεκριμένα ΑΤΜ που παράγεται από τον βραζιλιάνο πωλητή Itautec, είναι διαδεδομένο σε όλη τη Λατινική Αμερική από το 2021.

Το κακόβουλο λογισμικό FiXS μόλις κυκλοφόρησε και επί του παρόντος επηρεάζει τις τράπεζες του Μεξικού. Μόλις εγκατασταθεί στα ΑΤΜ, εκμεταλλεύεται μια σειρά πρωτοκόλλων και API γνωστά ως CEN XFS, τα οποία επιτρέπουν στους εγκληματίες του κυβερνοχώρου να προγραμματίζουν τα ΑΤΜ να διανέμουν μετρητά, είτε μέσω εξωτερικού πληκτρολογίου είτε μέσω μηνυμάτων SMS. Αυτή η διαδικασία είναι γνωστή ως τζάκποτ. Αξιοσημείωτο είναι ότι αυτού του είδους οι επιθέσεις μπορούν να προκαλέσουν σημαντικές οικονομικές απώλειες τόσο για τις τράπεζες όσο και για τους πελάτες τους, καθώς και ανησυχίες για την ασφάλεια των δικτύων ΑΤΜ.

Η αλυσίδα επίθεσης του κακόβουλου λογισμικού FiXS

Ένα από τα κύρια χαρακτηριστικά του κακόβουλου λογισμικού FiXS είναι ότι επιτρέπει στον παράγοντα απειλής να διανέμει μετρητά από το ΑΤΜ 30 λεπτά μετά την επανεκκίνηση του μηχανήματος. Ωστόσο, οι εγκληματίες πρέπει να έχουν πρόσβαση στο ΑΤΜ μέσω εξωτερικού πληκτρολογίου.

Το κακόβουλο λογισμικό περιέχει μεταδεδομένα σε ρωσική ή κυριλλική γραφή και η αλυσίδα επίθεσης ξεκινά με ένα σταγονόμετρο κακόβουλου λογισμικού που ονομάζεται "conhost.exe". Αυτό το σταγονόμετρο προσδιορίζει τον προσωρινό κατάλογο του συστήματος και αποθηκεύει εκεί το ωφέλιμο λογισμικό κακόβουλου λογισμικού FiXS ATM. Στη συνέχεια, το ενσωματωμένο κακόβουλο λογισμικό αποκωδικοποιείται με εντολή XOR, με το κλειδί να αλλάζει σε κάθε βρόχο μέσω της συνάρτησης decode_XOR_key(). Τέλος, το κακόβουλο λογισμικό FiXS ATM εκκινείται μέσω του API των Windows «ShellExecute».

Το κακόβουλο λογισμικό χρησιμοποιεί τα API CEN XFS για αλληλεπίδραση με το ΑΤΜ, γεγονός που το καθιστά συμβατό με τα περισσότερα ΑΤΜ που βασίζονται σε Windows με ελάχιστες προσαρμογές. Οι εγκληματίες του κυβερνοχώρου μπορούν να χρησιμοποιήσουν ένα εξωτερικό πληκτρολόγιο για να αλληλεπιδράσουν με το κακόβουλο λογισμικό και οι μηχανισμοί αγκίστρωσης παρεμποδίζουν τα πλήκτρα. Μέσα σε ένα παράθυρο 30 λεπτών μετά την επανεκκίνηση του ΑΤΜ, οι εγκληματίες μπορούν να επωφεληθούν από την ευπάθεια του συστήματος και να χρησιμοποιήσουν το εξωτερικό πληκτρολόγιο για να «φτύσουν χρήματα» από το ΑΤΜ.

Οι ερευνητές δεν είναι σίγουροι για τον αρχικό φορέα μόλυνσης. Ωστόσο, δεδομένου ότι το FiXS χρησιμοποιεί ένα εξωτερικό πληκτρολόγιο παρόμοιο με το Ploutus, πιστεύεται επίσης ότι ακολουθεί παρόμοια μεθοδολογία. Όταν πρόκειται για τον Ploutus, ένα άτομο με φυσική πρόσβαση στο ταμείο συνδέει ένα εξωτερικό πληκτρολόγιο στο ΑΤΜ για να ξεκινήσει την επίθεση.

Το τζάκποτ είναι ακόμα δημοφιλές μεταξύ των κυβερνοεγκληματικών ομάδων

Καθώς τα ΑΤΜ παραμένουν ένα κρίσιμο στοιχείο του χρηματοπιστωτικού συστήματος για οικονομίες που βασίζονται σε μετρητά, οι επιθέσεις κακόβουλου λογισμικού που στοχεύουν αυτές τις συσκευές εξακολουθούν να είναι διαδεδομένες. Ως εκ τούτου, είναι ζωτικής σημασίας για τα χρηματοπιστωτικά ιδρύματα και τις τράπεζες να προβλέπουν πιθανούς συμβιβασμούς στις συσκευές και να επικεντρωθούν στη βελτιστοποίηση και τη βελτίωση των απαντήσεών τους σε αυτούς τους τύπους απειλών. Αυτές οι επιθέσεις είχαν σημαντικό αντίκτυπο σε διάφορες περιοχές, συμπεριλαμβανομένης της Λατινικής Αμερικής, της Ευρώπης, της Ασίας και των Ηνωμένων Πολιτειών.

Οι κίνδυνοι που σχετίζονται με αυτές τις επιθέσεις είναι ιδιαίτερα υψηλοί για τα παλαιότερα μοντέλα ATM, καθώς είναι δύσκολο να επισκευαστούν ή να αντικατασταθούν και σπάνια χρησιμοποιούν λογισμικό ασφαλείας για να αποτρέψουν περαιτέρω υποβάθμιση της ήδη κακής απόδοσής τους.

Η Ευρωπαϊκή Ένωση για Ασφαλείς Συναλλαγές έχει αναφέρει συνολικά 202 επιτυχείς επιθέσεις τζάκποτ (ATM Malware & Logical Attacks) που στοχεύουν χρηματοπιστωτικά ιδρύματα στην ΕΕ το 2020, με απώλειες 1,4 εκατομμυρίων δολαρίων ή περίπου 7.000 $ ανά επίθεση, σύμφωνα με έκθεση του 2022 από την την Ομοσπονδιακή Τράπεζα της Ατλάντα.