FiXS Malware

A kiberbűnözők a mexikói ATM-ek ellen a FiXS néven ismert rosszindulatú szoftverek új törzsével támadtak, amely lehetővé teszi a támadók számára, hogy készpénzt adjanak ki a megcélzott gépekből. Ezt a rosszindulatú programot 2023 februárjában kezdődő támadások sorozatában használták fel.

Biztonsági szakértők jelentése szerint az ezekben a támadásokban alkalmazott taktika hasonló a Ploutus korábbi támadásaihoz, egy másik típusú ATM-malware-hez, amely 2013 óta célozza a latin-amerikai bankokat. A Ploutus frissített változata, amely kifejezetten az ATM-eket célozza meg. A brazil Itautec gyártó által gyártott termék 2021 óta elterjedt Latin-Amerikában.

A FiXS rosszindulatú program most jelent meg, és jelenleg a mexikói bankokat érinti. Miután telepítették az ATM-ekre, kihasználja a CEN XFS néven ismert protokoll- és API-készletet, amely lehetővé teszi a kiberbűnözők számára, hogy beprogramozzák az ATM-eket készpénz kiadására akár külső billentyűzeten, akár SMS-üzenet útján. Ezt a folyamatot jackpotingnak nevezik. Figyelemre méltó, hogy ez a fajta támadás jelentős anyagi veszteséget okozhat mind a bankoknak, mind ügyfeleiknek, valamint aggályokat vethet fel az ATM-hálózatok biztonságával kapcsolatban.

A FiXS malware támadási lánca

A FiXS rosszindulatú program egyik fő jellemzője, hogy lehetővé teszi a fenyegetés szereplői számára, hogy a gép újraindítása után 30 perccel készpénzt adjanak ki az ATM-ből. A bűnözőknek azonban külső billentyűzeten keresztül kell hozzáférniük az ATM-hez.

A rosszindulatú program orosz vagy cirill betűkkel írt metaadatokat tartalmaz, a támadási lánc pedig egy „conhost.exe” nevű rosszindulatú programledobóval kezdődik. Ez a dropper azonosítja a rendszer ideiglenes könyvtárát, és ott tárolja a FiXS ATM kártevő rakományt. A beágyazott rosszindulatú program ezután XOR utasítással dekódolásra kerül, és a kulcsot minden ciklusban megváltoztatják a decode_XOR_key() függvény segítségével. Végül a FiXS ATM kártevő a „ShellExecute” Windows API-n keresztül indul el.

A rosszindulatú program a CEN XFS API-kat használja az ATM-mel való interakcióhoz, ami minimális módosításokkal kompatibilis a legtöbb Windows-alapú ATM-mel. A kiberbûnözõk külsõ billentyûzet segítségével léphetnek kapcsolatba a rosszindulatú programokkal, és a beakasztó mechanizmusok elfogják a billentyűleütéseket. Az ATM újraindítását követő 30 percen belül a bűnözők kihasználhatják a rendszer sebezhetőségét, és a külső billentyűzet segítségével „kiköphetik ki a pénzt” az ATM-ből.

A kutatók bizonytalanok a fertőzés kezdeti vektorát illetően. Mivel azonban a FiXS a Ploutushoz hasonló külső billentyűzetet használ, feltételezhető, hogy hasonló módszertant követ. Ha Ploutusról van szó, a pénzkiadó automatához fizikai hozzáféréssel rendelkező személy külső billentyűzetet csatlakoztat az ATM-hez, hogy megindítsa a támadást.

A Jackpotting továbbra is népszerű a kiberbűnözők körében

Mivel az ATM-ek továbbra is a készpénzalapú gazdaságok pénzügyi rendszerének kulcsfontosságú elemei, továbbra is elterjedtek az ezeket az eszközöket célzó rosszindulatú programok. Ezért kulcsfontosságú, hogy a pénzintézetek és a bankok előre jelezzék a lehetséges eszközkompromisszumokat, és az ilyen típusú fenyegetésekre adott válaszaik optimalizálására és javítására összpontosítsanak. Ezek a támadások jelentős hatást gyakoroltak különböző régiókra, köztük Latin-Amerikára, Európára, Ázsiára és az Egyesült Államokra.

Az ezekkel a támadásokkal kapcsolatos kockázatok különösen magasak a régebbi ATM-modellek esetében, mivel kihívást jelent a javításuk vagy cseréjük, és ritkán használnak biztonsági szoftvereket, hogy megakadályozzák az amúgy is gyenge teljesítményük további romlását.

A Biztonságos Tranzakciók Európai Szövetsége összesen 202 sikeres főnyeremény-támadásról (ATM Malware & Logical Attacks) számolt be, amelyek 2020-ban az EU pénzintézetei ellen irányultak, és 1,4 millió dolláros, támadásonként körülbelül 7000 dolláros veszteséget okoztak a 2022-es jelentés szerint. az Atlantai Federal Reserve Bank.