FiXS Malware

साइबर अपराधी मेक्सिको में एटीएम को FiXS नामक मैलवेयर के एक नए तनाव के साथ लक्षित कर रहे हैं, जो हमलावरों को लक्षित मशीनों से नकदी निकालने की अनुमति देता है। फरवरी 2023 में शुरू हुए हमलों की एक श्रृंखला में इस मैलवेयर का उपयोग किया गया है।

सुरक्षा विशेषज्ञों की एक रिपोर्ट के अनुसार, इन हमलों में उपयोग की जाने वाली रणनीति प्लूटस द्वारा पिछले हमलों में उपयोग की जाने वाली रणनीति के समान है, एक अन्य प्रकार का एटीएम मैलवेयर जो 2013 से लैटिन अमेरिकी बैंकों को लक्षित कर रहा है। Ploutus का एक अद्यतन संस्करण, जो विशेष रूप से एटीएम को लक्षित करता है ब्राजील के वेंडर इटाउटेक द्वारा निर्मित, 2021 से पूरे लैटिन अमेरिका में प्रचलित है।

FiXS मैलवेयर अभी बाहर है और वर्तमान में मैक्सिकन बैंकों को प्रभावित कर रहा है। एक बार एटीएम पर स्थापित होने के बाद, यह सीईएन एक्सएफएस के रूप में जाने वाले प्रोटोकॉल और एपीआई के एक सूट का लाभ उठाता है, जो साइबर अपराधियों को एटीएम को नकद देने के लिए प्रोग्राम करने की अनुमति देता है, या तो बाहरी कीबोर्ड या एसएमएस मैसेजिंग के माध्यम से। इस प्रक्रिया को जैकपॉटिंग के रूप में जाना जाता है। उल्लेखनीय है कि इस प्रकार के हमले से बैंकों और उनके ग्राहकों दोनों को भारी वित्तीय नुकसान हो सकता है, साथ ही एटीएम नेटवर्क की सुरक्षा को लेकर चिंता भी बढ़ सकती है।

FiXS मालवेयर की अटैक चेन

FiXS मालवेयर की मुख्य विशेषताओं में से एक यह है कि यह मशीन को रिबूट होने के 30 मिनट बाद एटीएम से नकदी निकालने में सक्षम बनाता है। हालांकि, अपराधियों के पास बाहरी कीबोर्ड के माध्यम से एटीएम तक पहुंच होनी चाहिए।

मैलवेयर में रूसी या सिरिलिक लिपि में मेटाडेटा होता है, और हमले की श्रृंखला 'conhost.exe' नामक मैलवेयर ड्रॉपर से शुरू होती है। यह ड्रॉपर सिस्टम की अस्थायी निर्देशिका की पहचान करता है और वहां FiXS ATM मालवेयर पेलोड को स्टोर करता है। एम्बेडेड मालवेयर को तब XOR निर्देश के साथ डिकोड किया जाता है, जिसमें कुंजी को प्रत्येक लूप में decode_XOR_key() फ़ंक्शन के माध्यम से बदला जाता है। अंत में, FiXS ATM मालवेयर को 'ShellExecute' Windows API के माध्यम से लॉन्च किया गया।

मैलवेयर एटीएम के साथ बातचीत करने के लिए सीईएन एक्सएफएस एपीआई का उपयोग करता है, जो इसे न्यूनतम समायोजन के साथ अधिकांश विंडोज़-आधारित एटीएम के साथ संगत बनाता है। साइबर क्रिमिनल मालवेयर के साथ इंटरैक्ट करने के लिए एक बाहरी कीबोर्ड का उपयोग कर सकते हैं, और हुकिंग मैकेनिज्म कीस्ट्रोक्स को इंटरसेप्ट करता है। एटीएम के फिर से चालू होने के 30 मिनट के भीतर, अपराधी सिस्टम की भेद्यता का लाभ उठा सकते हैं और एटीएम से 'पैसा बाहर निकालने' के लिए बाहरी कीबोर्ड का उपयोग कर सकते हैं।

शोधकर्ता संक्रमण के शुरुआती वेक्टर के बारे में अनिश्चित हैं। हालाँकि, चूंकि FiXS प्लूटस के समान एक बाहरी कीबोर्ड का उपयोग करता है, यह भी एक समान पद्धति का पालन करने के लिए माना जाता है। जब प्लूटस की बात आती है, तो टेलर मशीन तक भौतिक पहुंच रखने वाला व्यक्ति हमले की शुरुआत करने के लिए एक बाहरी कीबोर्ड को एटीएम से जोड़ता है।

जैकपोटिंग अभी भी साइबर अपराधी समूहों के बीच लोकप्रिय है

चूंकि एटीएम नकदी आधारित अर्थव्यवस्थाओं के लिए वित्तीय प्रणाली का एक महत्वपूर्ण घटक है, इसलिए इन उपकरणों को लक्षित करने वाले मैलवेयर हमले अभी भी प्रचलित हैं। इसलिए, वित्तीय संस्थानों और बैंकों के लिए यह महत्वपूर्ण है कि वे संभावित डिवाइस समझौता की आशा करें और इस प्रकार के खतरों के प्रति अपनी प्रतिक्रियाओं को अनुकूलित करने और सुधारने पर ध्यान केंद्रित करें। इन हमलों का लैटिन अमेरिका, यूरोप, एशिया और संयुक्त राज्य अमेरिका सहित विभिन्न क्षेत्रों पर महत्वपूर्ण प्रभाव पड़ा है।

इन हमलों से जुड़े जोखिम पुराने एटीएम मॉडल के लिए विशेष रूप से उच्च हैं, क्योंकि वे मरम्मत या बदलने के लिए चुनौतीपूर्ण हैं और अपने पहले से ही खराब प्रदर्शन को और खराब होने से बचाने के लिए शायद ही कभी सुरक्षा सॉफ़्टवेयर का उपयोग करते हैं।

द यूरोपियन एसोसिएशन फॉर सिक्योर ट्रांजैक्शंस ने 2020 में यूरोपीय संघ में वित्तीय संस्थानों को लक्षित कुल 202 सफल जैकपॉटिंग हमलों (एटीएम मैलवेयर और लॉजिकल अटैक) की सूचना दी है, जिसके परिणामस्वरूप 2022 की एक रिपोर्ट के अनुसार $1.4 मिलियन या लगभग $7,000 प्रति हमले का नुकसान हुआ है। फेडरल रिजर्व बैंक ऑफ अटलांटा।