FiXS Malware
Kyberrikolliset ovat kohdistaneet Meksikon pankkiautomaatteihin uuden FiXS-nimisen haittaohjelman, jonka avulla hyökkääjät voivat jakaa käteistä kohteena olevista koneista. Tätä haittaohjelmaa on käytetty helmikuussa 2023 alkaneissa hyökkäyksissä.
Turvallisuusasiantuntijoiden raportin mukaan näissä hyökkäyksissä käytetyt taktiikat ovat samankaltaisia kuin Ploutuksen aiemmissa hyökkäyksissä. Kyseessä on toisen tyyppinen pankkiautomaattihaittaohjelma, joka on kohdistunut Latinalaisen Amerikan pankkeihin vuodesta 2013 lähtien. Ploutuksen päivitetty versio, joka kohdistuu erityisesti pankkiautomaateihin. Brasilian valmistajan Itautecin valmistama, on ollut yleinen Latinalaisessa Amerikassa vuodesta 2021 lähtien.
FiXS-haittaohjelma on juuri julkaistu ja vaikuttaa tällä hetkellä meksikolaisiin pankkeihin. Kun se on asennettu pankkiautomaatteihin, se hyödyntää protokollia ja API-liittymiä, jotka tunnetaan nimellä CEN XFS, jonka avulla kyberrikolliset voivat ohjelmoida pankkiautomaatit jakamaan käteistä joko ulkoisen näppäimistön tai tekstiviestien kautta. Tämä prosessi tunnetaan jackpottingina. On huomionarvoista, että tämäntyyppiset hyökkäykset voivat aiheuttaa merkittäviä taloudellisia menetyksiä sekä pankeille että niiden asiakkaille sekä herättää huolta pankkiautomaattiverkkojen turvallisuudesta.
FiXS-haittaohjelman hyökkäysketju
Yksi FiXS-haittaohjelman pääominaisuuksista on, että sen avulla uhkatekijä voi jakaa käteistä pankkiautomaatista 30 minuuttia koneen uudelleenkäynnistyksen jälkeen. Rikollisilla on kuitenkin oltava pääsy pankkiautomaattiin ulkoisen näppäimistön kautta.
Haittaohjelma sisältää metatietoja venäjällä tai kyrillisellä kirjoituksella, ja hyökkäysketju alkaa haittaohjelmien tiputtimella nimeltä "conhost.exe". Tämä dropperi tunnistaa järjestelmän väliaikaisen hakemiston ja tallentaa sinne FiXS ATM -haittaohjelmien hyötykuorman. Sulautettu haittaohjelma dekoodataan sitten XOR-käskyllä, ja avain vaihdetaan jokaisessa silmukassa decode_XOR_key()-funktiolla. Lopuksi FiXS ATM -haittaohjelma käynnistetään "ShellExecute" Windows API:n kautta.
Haittaohjelma käyttää CEN XFS -sovellusliittymiä vuorovaikutuksessa pankkiautomaatin kanssa, mikä tekee siitä yhteensopivan useimpien Windows-pohjaisten pankkiautomaattien kanssa minimaalisilla säädöillä. Kyberrikolliset voivat käyttää ulkoista näppäimistöä ollakseen vuorovaikutuksessa haittaohjelmien kanssa, ja koukkumekanismit sieppaavat näppäinpainallukset. 30 minuutin kuluessa pankkiautomaatin uudelleenkäynnistämisen jälkeen rikolliset voivat hyödyntää järjestelmän haavoittuvuutta ja käyttää ulkoista näppäimistöä rahan sylkemiseen pankkiautomaatista.
Tutkijat ovat epävarmoja infektion alkuperäisestä vektorista. Koska FiXS käyttää Ploutusin kaltaista ulkoista näppäimistöä, myös sen uskotaan noudattavan samanlaista menetelmää. Mitä tulee Ploutukseen, henkilö, jolla on fyysinen pääsy pankkiautomaattiin, yhdistää ulkoisen näppäimistön pankkiautomaattiin käynnistääkseen hyökkäyksen.
Jackpotting on edelleen suosittu kyberrikollisryhmien keskuudessa
Koska pankkiautomaatit ovat edelleen keskeinen osa kassapohjaisten talouksien rahoitusjärjestelmää, näihin laitteisiin kohdistuvat haittaohjelmahyökkäykset ovat edelleen yleisiä. Siksi on erittäin tärkeää, että rahoituslaitokset ja pankit ennakoivat mahdolliset laitekompromissit ja keskittyvät optimoimaan ja parantamaan reagointiaan tämäntyyppisiin uhkiin. Näillä hyökkäyksillä on ollut merkittävä vaikutus useille alueille, mukaan lukien Latinalaiseen Amerikkaan, Eurooppaan, Aasiaan ja Yhdysvaltoihin.
Näihin hyökkäyksiin liittyvät riskit ovat erityisen korkeat vanhemmille pankkiautomaattimalleille, koska ne ovat haastavia korjata tai vaihtaa ja käyttävät harvoin tietoturvaohjelmistoja estääkseen niiden jo ennestään heikon suorituskyvyn heikkenemisen.
European Association for Secure Transactions on raportoinut yhteensä 202 onnistuneesta jättipottihyökkäyksestä (ATM Malware & Logical Attacks), jotka kohdistuivat rahoituslaitoksiin EU:ssa vuonna 2020, mikä on aiheuttanut 1,4 miljoonan dollarin tappiot eli noin 7 000 dollaria hyökkäystä kohden vuoden 2022 raportin mukaan. Atlantan Federal Reserve Bank.
