FiXS Malware

I criminali informatici hanno preso di mira gli sportelli automatici in Messico con un nuovo ceppo di malware noto come FiXS, che consente agli aggressori di erogare contanti dalle macchine prese di mira. Questo malware è stato utilizzato in una serie di attacchi iniziati nel febbraio 2023.

Secondo un rapporto degli esperti di sicurezza, le tattiche utilizzate in questi attacchi sono simili a quelle utilizzate nei precedenti attacchi di Ploutus, un altro tipo di malware ATM che ha preso di mira le banche latinoamericane dal 2013. Una versione aggiornata di Ploutus , che prende di mira specificamente gli sportelli automatici prodotto dal fornitore brasiliano Itautec, è diffuso in tutta l'America Latina dal 2021.

Il malware FiXS è appena uscito e sta attualmente colpendo le banche messicane. Una volta installato sugli sportelli automatici, sfrutta una suite di protocolli e API nota come CEN XFS, che consente ai criminali informatici di programmare gli sportelli automatici per erogare contanti, tramite una tastiera esterna o tramite SMS. Questo processo è noto come jackpot. È interessante notare che questo tipo di attacco può causare perdite finanziarie significative sia per le banche che per i loro clienti, oltre a sollevare preoccupazioni sulla sicurezza delle reti ATM.

La catena di attacco del malware FiXS

Una delle caratteristiche principali del malware FiXS è che consente all'autore della minaccia di erogare contanti dal bancomat 30 minuti dopo il riavvio della macchina. Tuttavia, i criminali devono avere accesso allo sportello automatico tramite una tastiera esterna.

Il malware contiene metadati in caratteri russi o cirillici e la catena di attacco inizia con un dropper di malware chiamato "conhost.exe". Questo dropper identifica la directory temporanea del sistema e memorizza lì il payload del malware FiXS ATM. Il malware incorporato viene quindi decodificato con l'istruzione XOR, con la chiave che viene modificata in ogni ciclo tramite la funzione decode_XOR_key(). Infine, il malware FiXS ATM viene lanciato tramite l'API di Windows "ShellExecute".

Il malware utilizza le API CEN XFS per interagire con l'ATM, il che lo rende compatibile con la maggior parte degli ATM basati su Windows con modifiche minime. I criminali informatici possono utilizzare una tastiera esterna per interagire con il malware e i meccanismi di aggancio intercettano le sequenze di tasti. Entro 30 minuti dal riavvio dell'ATM, i criminali possono sfruttare la vulnerabilità del sistema e utilizzare la tastiera esterna per "sputare denaro" dall'ATM.

I ricercatori non sono sicuri del vettore iniziale dell'infezione. Tuttavia, poiché FiXS utilizza una tastiera esterna simile a Ploutus, si ritiene che segua anche una metodologia simile. Quando si tratta di Ploutus, una persona con accesso fisico al bancomat collega una tastiera esterna al bancomat per avviare l'attacco.

Il jackpot è ancora popolare tra i gruppi di criminali informatici

Poiché gli sportelli automatici rimangono una componente cruciale del sistema finanziario per le economie basate sul contante, gli attacchi di malware contro questi dispositivi sono ancora prevalenti. Pertanto, è fondamentale che le istituzioni finanziarie e le banche anticipino potenziali compromissioni dei dispositivi e si concentrino sull'ottimizzazione e il miglioramento delle loro risposte a questo tipo di minacce. Questi attacchi hanno avuto un impatto significativo su varie regioni, tra cui America Latina, Europa, Asia e Stati Uniti.

I rischi associati a questi attacchi sono particolarmente elevati per i vecchi modelli ATM, poiché sono difficili da riparare o sostituire e raramente utilizzano software di sicurezza per prevenire un ulteriore degrado delle loro già scarse prestazioni.

L'Associazione europea per le transazioni sicure ha segnalato un totale di 202 attacchi di jackpot riusciti (ATM Malware & Logical Attacks) contro istituzioni finanziarie nell'UE nel 2020, con conseguenti perdite di $ 1,4 milioni, o circa $ 7.000 per attacco, secondo un rapporto del 2022 di la Federal Reserve Bank di Atlanta.