FiXS Malware
مجرمان سایبری دستگاههای خودپرداز در مکزیک را با نوع جدیدی از بدافزار به نام FiXS هدف قرار دادهاند که به مهاجمان اجازه میدهد پول نقد را از ماشینهای مورد نظر توزیع کنند. این بدافزار در یک سری حملات که در فوریه 2023 آغاز شد، استفاده شده است.
طبق گزارش کارشناسان امنیتی، تاکتیکهای مورد استفاده در این حملات مشابه حملات قبلی Ploutus است، نوع دیگری از بدافزارهای خودپرداز که از سال 2013 بانکهای آمریکای لاتین را هدف قرار داده است. نسخه به روز شده Ploutus که به طور خاص دستگاههای خودپرداز را هدف قرار میدهد. تولید شده توسط فروشنده برزیلی Itautec، از سال 2021 در سراسر آمریکای لاتین رایج بوده است.
بدافزار FiXS به تازگی منتشر شده است و در حال حاضر بانک های مکزیکی را تحت تاثیر قرار داده است. پس از نصب بر روی دستگاههای خودپرداز، از مجموعهای از پروتکلها و APIهای معروف به CEN XFS بهره میبرد که به مجرمان سایبری اجازه میدهد تا دستگاههای خودپرداز را برنامهریزی کنند تا پول نقد را از طریق صفحهکلید خارجی یا از طریق پیام کوتاه ارسال کنند. این فرآیند به عنوان جک پات شناخته می شود. شایان ذکر است که این نوع حمله می تواند ضررهای مالی قابل توجهی را هم برای بانک ها و هم برای مشتریان آنها به همراه داشته باشد و همچنین نگرانی هایی را در مورد امنیت شبکه های خودپرداز ایجاد کند.
زنجیره حمله بدافزار FiXS
یکی از ویژگیهای اصلی بدافزار FiXS این است که عامل تهدید را قادر میسازد تا 30 دقیقه پس از راهاندازی مجدد دستگاه، پول نقد را از دستگاه خودپرداز توزیع کند. با این حال، مجرمان باید از طریق صفحه کلید خارجی به دستگاه خودپرداز دسترسی داشته باشند.
این بدافزار حاوی ابرداده به خط روسی یا سیریلیک است و زنجیره حمله با یک مخرب بدافزار به نام «conhost.exe» آغاز میشود. این قطره چکان دایرکتوری موقت سیستم را شناسایی می کند و بار بدافزار ATM FiXS را در آنجا ذخیره می کند. سپس بدافزار تعبیه شده با دستور XOR رمزگشایی می شود و کلید در هر حلقه از طریق تابع ()decode_XOR_key تغییر می کند. در نهایت، بدافزار FiXS ATM از طریق API Windows ShellExecute راه اندازی می شود.
این بدافزار از API های CEN XFS برای تعامل با دستگاه خودپرداز استفاده می کند که باعث می شود با اکثر دستگاه های خودپرداز مبتنی بر ویندوز با حداقل تنظیمات سازگار باشد. مجرمان سایبری می توانند از یک صفحه کلید خارجی برای تعامل با بدافزار استفاده کنند و مکانیسم های قلاب کردن ضربه های کلید را متوقف می کنند. در عرض 30 دقیقه پس از راهاندازی مجدد دستگاه خودپرداز، مجرمان میتوانند از آسیبپذیری سیستم استفاده کنند و از صفحهکلید خارجی برای بیرون ریختن پول از دستگاه خودپرداز استفاده کنند.
محققان در مورد ناقل اولیه عفونت مطمئن نیستند. با این حال، از آنجایی که FiXS از صفحه کلید خارجی مشابه Ploutus استفاده می کند، اعتقاد بر این است که از یک روش مشابه پیروی می کند. وقتی صحبت از Ploutus می شود، شخصی که دسترسی فیزیکی به دستگاه باجه دارد، یک صفحه کلید خارجی را به دستگاه خودپرداز متصل می کند تا حمله را آغاز کند.
جکپاتینگ هنوز در بین گروههای مجرم سایبری محبوب است
از آنجایی که دستگاههای خودپرداز جزء حیاتی سیستم مالی برای اقتصادهای مبتنی بر پول نقد باقی ماندهاند، حملات بدافزاری که این دستگاهها را هدف قرار میدهند همچنان رایج هستند. بنابراین، برای موسسات مالی و بانکها بسیار مهم است که سازشهای احتمالی دستگاه را پیشبینی کنند و بر بهینهسازی و بهبود پاسخهای خود به این نوع تهدیدات تمرکز کنند. این حملات تأثیر قابل توجهی بر مناطق مختلف از جمله آمریکای لاتین، اروپا، آسیا و ایالات متحده داشته است.
خطرات مرتبط با این حملات به ویژه برای مدلهای قدیمیتر ATM زیاد است، زیرا تعمیر یا جایگزینی آنها چالش برانگیز است و به ندرت از نرمافزار امنیتی برای جلوگیری از تخریب بیشتر عملکرد ضعیف خود استفاده میکنند.
انجمن اروپایی تراکنشهای ایمن مجموعاً 202 حمله جکپاتینگ موفق (بدافزار و حملات منطقی ATM) را که مؤسسات مالی اتحادیه اروپا را در سال 2020 هدف قرار میدهند، گزارش کرده است که بر اساس گزارش سال 2022، خسارتی معادل 1.4 میلیون دلار یا حدود 7000 دلار به ازای هر حمله به بار آورده است. بانک فدرال رزرو آتلانتا