FIXS Malware

Kibernetički kriminalci napadaju bankomate u Meksiku novom vrstom zlonamjernog softvera poznatom kao FiXS, koji napadačima omogućuje isplatu gotovine s ciljanih strojeva. Ovaj zlonamjerni softver korišten je u nizu napada koji su započeli u veljači 2023.

Prema izvješću sigurnosnih stručnjaka, taktike korištene u ovim napadima slične su onima korištenim u prethodnim napadima Ploutusa, druge vrste zlonamjernog softvera za bankomate koji cilja latinoameričke banke od 2013. Ažurirana verzija Ploutusa , koja posebno cilja bankomate proizveden od strane brazilskog dobavljača Itautec, prevladava diljem Latinske Amerike od 2021.

Zlonamjerni softver FiXS je upravo izašao i trenutno utječe na meksičke banke. Nakon što se instalira na bankomate, koristi prednosti skupa protokola i API-ja poznatih kao CEN XFS, koji kibernetičkim kriminalcima omogućuje programiranje bankomata za isplatu gotovine, bilo putem vanjske tipkovnice ili putem SMS poruka. Ovaj proces je poznat kao jackpotting. Važno je napomenuti da ova vrsta napada može prouzročiti značajne financijske gubitke za banke i njihove klijente, kao i izazvati zabrinutost za sigurnost mreža bankomata.

Lanac napada zlonamjernog softvera FiXS

Jedna od glavnih značajki zlonamjernog softvera FiXS je da akteru prijetnje omogućuje da podigne gotovinu s bankomata 30 minuta nakon ponovnog pokretanja stroja. Međutim, kriminalci moraju imati pristup bankomatu preko vanjske tipkovnice.

Zlonamjerni softver sadrži metapodatke na ruskom ili ćiriličnom pismu, a lanac napada počinje kapaljkom zlonamjernog softvera pod nazivom 'conhost.exe'. Ovaj dropper identificira privremeni direktorij sustava i tamo pohranjuje FiXS ATM zlonamjerni sadržaj. Ugrađeni zlonamjerni softver zatim se dekodira s instrukcijom XOR, pri čemu se ključ mijenja u svakoj petlji putem funkcije decode_XOR_key(). Konačno, zlonamjerni softver FiXS ATM pokreće se putem 'ShellExecute' Windows API-ja.

Zlonamjerni softver koristi CEN XFS API-je za interakciju s bankomatom, što ga čini kompatibilnim s većinom bankomata temeljenih na sustavu Windows uz minimalne prilagodbe. Cyberkriminalci mogu koristiti vanjsku tipkovnicu za interakciju sa zlonamjernim softverom, a mehanizmi za spajanje presreću pritiske tipki. U roku od 30 minuta nakon ponovnog pokretanja bankomata, kriminalci mogu iskoristiti ranjivost sustava i upotrijebiti vanjsku tipkovnicu za 'ispljunuti novac' iz bankomata.

Istraživači nisu sigurni oko početnog vektora infekcije. Međutim, budući da FiXS koristi vanjsku tipkovnicu sličnu Ploutusu, također se vjeruje da slijedi sličnu metodologiju. Kada je u pitanju Ploutus, osoba s fizičkim pristupom bankomatu spaja vanjsku tipkovnicu na bankomat kako bi započela napad.

Jackpotting je još uvijek popularan među skupinama kibernetičkog kriminala

Budući da su bankomati i dalje ključna komponenta financijskog sustava za gospodarstva temeljena na gotovini, napadi zlonamjernim softverom usmjereni na te uređaje i dalje su prevladavajući. Stoga je za financijske institucije i banke ključno predvidjeti moguće kompromitacije uređaja i usredotočiti se na optimizaciju i poboljšanje svojih odgovora na ove vrste prijetnji. Ovi napadi su imali značajan utjecaj na različite regije, uključujući Latinsku Ameriku, Europu, Aziju i Sjedinjene Države.

Rizici povezani s ovim napadima posebno su visoki za starije modele bankomata, budući da ih je teško popraviti ili zamijeniti i rijetko koriste sigurnosni softver za sprječavanje daljnje degradacije njihovih već loših performansi.

Europska udruga za sigurne transakcije izvijestila je o ukupno 202 uspješna jackpotting napada (ATM Malware & Logical Attacks) usmjerenih na financijske institucije u EU-u 2020., što je rezultiralo gubicima od 1,4 milijuna dolara ili oko 7000 dolara po napadu, prema izvješću iz 2022. banka saveznih rezervi u Atlanti.