FiXS Malware

مجرمان سایبری دستگاه‌های خودپرداز در مکزیک را با نوع جدیدی از بدافزار به نام FiXS هدف قرار داده‌اند که به مهاجمان اجازه می‌دهد پول نقد را از ماشین‌های مورد نظر توزیع کنند. این بدافزار در یک سری حملات که در فوریه 2023 آغاز شد، استفاده شده است.

طبق گزارش کارشناسان امنیتی، تاکتیک‌های مورد استفاده در این حملات مشابه حملات قبلی Ploutus است، نوع دیگری از بدافزارهای خودپرداز که از سال 2013 بانک‌های آمریکای لاتین را هدف قرار داده است. نسخه به روز شده Ploutus که به طور خاص دستگاه‌های خودپرداز را هدف قرار می‌دهد. تولید شده توسط فروشنده برزیلی Itautec، از سال 2021 در سراسر آمریکای لاتین رایج بوده است.

بدافزار FiXS به تازگی منتشر شده است و در حال حاضر بانک های مکزیکی را تحت تاثیر قرار داده است. پس از نصب بر روی دستگاه‌های خودپرداز، از مجموعه‌ای از پروتکل‌ها و APIهای معروف به CEN XFS بهره می‌برد که به مجرمان سایبری اجازه می‌دهد تا دستگاه‌های خودپرداز را برنامه‌ریزی کنند تا پول نقد را از طریق صفحه‌کلید خارجی یا از طریق پیام کوتاه ارسال کنند. این فرآیند به عنوان جک پات شناخته می شود. شایان ذکر است که این نوع حمله می تواند ضررهای مالی قابل توجهی را هم برای بانک ها و هم برای مشتریان آنها به همراه داشته باشد و همچنین نگرانی هایی را در مورد امنیت شبکه های خودپرداز ایجاد کند.

زنجیره حمله بدافزار FiXS

یکی از ویژگی‌های اصلی بدافزار FiXS این است که عامل تهدید را قادر می‌سازد تا 30 دقیقه پس از راه‌اندازی مجدد دستگاه، پول نقد را از دستگاه خودپرداز توزیع کند. با این حال، مجرمان باید از طریق صفحه کلید خارجی به دستگاه خودپرداز دسترسی داشته باشند.

این بدافزار حاوی ابرداده به خط روسی یا سیریلیک است و زنجیره حمله با یک مخرب بدافزار به نام «conhost.exe» آغاز می‌شود. این قطره چکان دایرکتوری موقت سیستم را شناسایی می کند و بار بدافزار ATM FiXS را در آنجا ذخیره می کند. سپس بدافزار تعبیه شده با دستور XOR رمزگشایی می شود و کلید در هر حلقه از طریق تابع ()decode_XOR_key تغییر می کند. در نهایت، بدافزار FiXS ATM از طریق API Windows ShellExecute راه اندازی می شود.

این بدافزار از API های CEN XFS برای تعامل با دستگاه خودپرداز استفاده می کند که باعث می شود با اکثر دستگاه های خودپرداز مبتنی بر ویندوز با حداقل تنظیمات سازگار باشد. مجرمان سایبری می توانند از یک صفحه کلید خارجی برای تعامل با بدافزار استفاده کنند و مکانیسم های قلاب کردن ضربه های کلید را متوقف می کنند. در عرض 30 دقیقه پس از راه‌اندازی مجدد دستگاه خودپرداز، مجرمان می‌توانند از آسیب‌پذیری سیستم استفاده کنند و از صفحه‌کلید خارجی برای بیرون ریختن پول از دستگاه خودپرداز استفاده کنند.

محققان در مورد ناقل اولیه عفونت مطمئن نیستند. با این حال، از آنجایی که FiXS از صفحه کلید خارجی مشابه Ploutus استفاده می کند، اعتقاد بر این است که از یک روش مشابه پیروی می کند. وقتی صحبت از Ploutus می شود، شخصی که دسترسی فیزیکی به دستگاه باجه دارد، یک صفحه کلید خارجی را به دستگاه خودپرداز متصل می کند تا حمله را آغاز کند.

جک‌پاتینگ هنوز در بین گروه‌های مجرم سایبری محبوب است

از آنجایی که دستگاه‌های خودپرداز جزء حیاتی سیستم مالی برای اقتصادهای مبتنی بر پول نقد باقی مانده‌اند، حملات بدافزاری که این دستگاه‌ها را هدف قرار می‌دهند همچنان رایج هستند. بنابراین، برای موسسات مالی و بانک‌ها بسیار مهم است که سازش‌های احتمالی دستگاه را پیش‌بینی کنند و بر بهینه‌سازی و بهبود پاسخ‌های خود به این نوع تهدیدات تمرکز کنند. این حملات تأثیر قابل توجهی بر مناطق مختلف از جمله آمریکای لاتین، اروپا، آسیا و ایالات متحده داشته است.

خطرات مرتبط با این حملات به ویژه برای مدل‌های قدیمی‌تر ATM زیاد است، زیرا تعمیر یا جایگزینی آنها چالش برانگیز است و به ندرت از نرم‌افزار امنیتی برای جلوگیری از تخریب بیشتر عملکرد ضعیف خود استفاده می‌کنند.

انجمن اروپایی تراکنش‌های ایمن مجموعاً 202 حمله جک‌پاتینگ موفق (بدافزار و حملات منطقی ATM) را که مؤسسات مالی اتحادیه اروپا را در سال 2020 هدف قرار می‌دهند، گزارش کرده است که بر اساس گزارش سال 2022، خسارتی معادل 1.4 میلیون دلار یا حدود 7000 دلار به ازای هر حمله به بار آورده است. بانک فدرال رزرو آتلانتا