FiXS Malware

פושעי סייבר מכוונים לכספומטים במקסיקו עם זן חדש של תוכנות זדוניות המכונה FiXS, המאפשר לתוקפים להוציא מזומנים מהמכונות הממוקדות. תוכנה זדונית זו שימשה בסדרה של התקפות שהחלו בפברואר 2023.

על פי דו"ח של מומחי אבטחה, הטקטיקות ששימשו בהתקפות אלו דומות לאלו שנעשה בהן שימוש בהתקפות קודמות של פלוטוס, סוג נוסף של תוכנות זדוניות בכספומטים המתמקדות בבנקים באמריקה הלטינית מאז 2013. גרסה מעודכנת של פלוטוס , המכוונת במיוחד לכספומטים מיוצר על ידי הספק הברזילאי Itautec, נפוץ ברחבי אמריקה הלטינית מאז 2021.

התוכנה הזדונית FiXS זה עתה יצאה ומשפיעה כעת על בנקים מקסיקנים. לאחר ההתקנה על הכספומטים, הוא מנצל חבילה של פרוטוקולים וממשקי API הידועים בשם CEN XFS, המאפשרת לפושעי רשת לתכנת את הכספומטים להוצאת מזומנים, או באמצעות מקלדת חיצונית או באמצעות הודעות SMS. תהליך זה מכונה זכיות. ראוי לציין שתקיפה מסוג זה עלולה לגרום להפסדים כספיים משמעותיים הן לבנקים והן ללקוחותיהם, וכן לעורר חששות לגבי אבטחת רשתות הכספומטים.

שרשרת ההתקפה של תוכנת ה-FiXS Malware

אחת התכונות העיקריות של התוכנה הזדונית FiXS היא שהיא מאפשרת לשחקן האיום להוציא מזומנים מהכספומט 30 דקות לאחר אתחול המחשב. עם זאת, לפושעים חייבת להיות גישה לכספומט באמצעות מקלדת חיצונית.

התוכנה הזדונית מכילה מטא-נתונים בסקריפט רוסי או קירילי, ושרשרת ההתקפה מתחילה עם מטפטפת תוכנות זדוניות בשם 'conhost.exe'. טפטפת זו מזהה את הספרייה הזמנית של המערכת ומאחסנת שם את מטען התוכנה הזדונית של FiXS ATM. לאחר מכן, התוכנה הזדונית המשובצת מפוענחת עם הוראת XOR, כאשר המפתח משתנה בכל לולאה באמצעות הפונקציה decode_XOR_key() . לבסוף, התוכנה הזדונית FiXS ATM מושקת באמצעות 'ShellExecute' Windows API.

התוכנה הזדונית משתמשת בממשקי ה-API של CEN XFS כדי ליצור אינטראקציה עם הכספומט, מה שהופך אותו לתואם לרוב הכספומטים מבוססי Windows עם התאמות מינימליות. פושעי סייבר יכולים להשתמש במקלדת חיצונית כדי ליצור אינטראקציה עם התוכנה הזדונית, ומנגנוני החיבור מיירטים את ההקשות. בתוך חלון של 30 דקות לאחר אתחול מחדש של הכספומט, פושעים יכולים לנצל את הפגיעות של המערכת ולהשתמש במקלדת החיצונית כדי 'לירוק כסף' מהכספומט.

החוקרים אינם בטוחים לגבי הווקטור הראשוני לזיהום. עם זאת, מכיוון ש-FiXS משתמש במקלדת חיצונית הדומה ל-Plotus, מאמינים שגם היא פועלת לפי מתודולוגיה דומה. כשמדובר בפלוטוס, אדם עם גישה פיזית למכשיר הכספו מחבר מקלדת חיצונית לכספומט כדי ליזום את המתקפה.

ג'קפוטינג עדיין פופולרי בקרב קבוצות פושעי סייבר

מכיוון שכספומטים נותרו מרכיב חיוני במערכת הפיננסית עבור כלכלות מבוססות מזומנים, התקפות תוכנות זדוניות המכוונות למכשירים אלה עדיין נפוצות. לכן, חיוני למוסדות פיננסיים ולבנקים לצפות פשרות פוטנציאליות של מכשירים ולהתרכז באופטימיזציה ושיפור התגובות שלהם לאיומים מסוג זה. לתקיפות הללו הייתה השפעה משמעותית על אזורים שונים, כולל אמריקה הלטינית, אירופה, אסיה וארצות הברית.

הסיכונים הכרוכים בהתקפות אלו גבוהים במיוחד עבור דגמי כספומט ישנים יותר, מכיוון שהם מאתגרים לתקן או להחליף ולעיתים רחוקות משתמשים בתוכנת אבטחה כדי למנוע ירידה נוספת בביצועים הגרועים ממילא שלהם.

האגודה האירופית לעסקאות מאובטחות דיווחה על סך של 202 התקפות זכויות מוצלחות (ATM Malware & Logical Attacks) המכוונות למוסדות פיננסיים באיחוד האירופי בשנת 2020, והביאו להפסדים של 1.4 מיליון דולר, או כ-7,000 דולר לכל התקפה, על פי דו"ח מ-2022 של הבנק הפדרלי של אטלנטה.