FiXS Malware

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបាននឹងកំពុងកំណត់គោលដៅលើម៉ាស៊ីន ATM នៅក្នុងប្រទេសម៉ិកស៊ិក ជាមួយនឹងមេរោគប្រភេទថ្មីដែលគេស្គាល់ថា FiXS ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារចែកចាយសាច់ប្រាក់ពីម៉ាស៊ីនគោលដៅ។ មេរោគនេះត្រូវបានប្រើប្រាស់ក្នុងការវាយប្រហារជាបន្តបន្ទាប់ដែលបានចាប់ផ្តើមនៅក្នុងខែកុម្ភៈ ឆ្នាំ 2023។

យោងតាមរបាយការណ៍របស់អ្នកជំនាញសន្តិសុខ យុទ្ធសាស្ត្រដែលប្រើក្នុងការវាយប្រហារទាំងនេះគឺស្រដៀងគ្នាទៅនឹងការវាយប្រហារពីមុនដោយ Ploutus ដែលជាប្រភេទមេរោគ ATM មួយផ្សេងទៀតដែលបានកំណត់គោលដៅលើធនាគារអាមេរិកឡាទីនតាំងពីឆ្នាំ 2013។ កំណែអាប់ដេតរបស់ Ploutus ដែលផ្តោតជាពិសេសទៅលើម៉ាស៊ីន ATM ផលិតដោយអ្នកលក់ជនជាតិប្រេស៊ីល Itautec បានរីករាលដាលពាសពេញអាមេរិកឡាទីនតាំងពីឆ្នាំ 2021។

មេរោគ FiXS ទើបតែចេញ ហើយបច្ចុប្បន្នកំពុងប៉ះពាល់ដល់ធនាគារម៉ិកស៊ិក។ នៅពេលដំឡើងនៅលើម៉ាស៊ីនអេធីអឹម វាទាញយកអត្ថប្រយោជន៍ពីឈុតនៃពិធីការ និង APIs ដែលគេស្គាល់ថា CEN XFS ដែលអនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដាក់កម្មវិធី ATM ដើម្បីចែកចាយសាច់ប្រាក់ ទាំងតាមរយៈក្តារចុចខាងក្រៅ ឬដោយការផ្ញើសារ SMS ។ ដំណើរការនេះត្រូវបានគេហៅថា jackpotting ។ គួរកត់សម្គាល់ថាការវាយប្រហារប្រភេទនេះអាចបណ្តាលឱ្យមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុយ៉ាងសំខាន់សម្រាប់ទាំងធនាគារ និងអតិថិជនរបស់ពួកគេ ក៏ដូចជាបង្កើនការព្រួយបារម្ភអំពីសុវត្ថិភាពនៃបណ្តាញអេធីអឹមផងដែរ។

ខ្សែសង្វាក់វាយប្រហារនៃមេរោគ FiXS

លក្ខណៈពិសេសចម្បងមួយនៃមេរោគ FiXS គឺថាវាអាចឱ្យអ្នកគំរាមកំហែងចែកចាយសាច់ប្រាក់ពីម៉ាស៊ីន ATM 30 នាទីបន្ទាប់ពីម៉ាស៊ីនត្រូវបានដំណើរការឡើងវិញ។ ទោះយ៉ាងណាក៏ដោយ ឧក្រិដ្ឋជនត្រូវតែមានសិទ្ធិចូលប្រើម៉ាស៊ីន ATM តាមរយៈក្តារចុចខាងក្រៅ។

មេរោគនេះមានផ្ទុកទិន្នន័យមេតាជាភាសារុស្សី ឬអក្សរ Cyrillic ហើយខ្សែសង្វាក់វាយប្រហារចាប់ផ្តើមដោយមេរោគដែលហៅថា 'conhost.exe'។ ឧបករណ៍ទម្លាក់នេះកំណត់ថតបណ្តោះអាសន្នរបស់ប្រព័ន្ធ និងរក្សាទុក FiXS ATM malware payload នៅទីនោះ។ បន្ទាប់មកមេរោគដែលបានបង្កប់ត្រូវបានឌិកូដជាមួយនឹងការណែនាំ XOR ដោយគ្រាប់ចុចត្រូវបានផ្លាស់ប្តូរនៅគ្រប់រង្វិលជុំតាមរយៈមុខងារ decode_XOR_key()។ ទីបំផុត មេរោគ FiXS ATM ត្រូវបានដាក់ឱ្យដំណើរការតាមរយៈ 'ShellExecute' Windows API ។

មេរោគនេះប្រើប្រាស់ CEN XFS APIs ដើម្បីធ្វើអន្តរកម្មជាមួយម៉ាស៊ីន ATM ដែលធ្វើឱ្យវាត្រូវគ្នាជាមួយម៉ាស៊ីន ATM ដែលមានមូលដ្ឋានលើ Windows ភាគច្រើនជាមួយនឹងការកែតម្រូវតិចតួចបំផុត។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតអាចប្រើក្តារចុចខាងក្រៅដើម្បីធ្វើអន្តរកម្មជាមួយមេរោគ ហើយយន្តការស្ទាក់ចាប់ការចុចគ្រាប់ចុច។ ក្នុងរយៈពេល 30 នាទីបន្ទាប់ពីម៉ាស៊ីន ATM ចាប់ផ្តើមឡើងវិញ ឧក្រិដ្ឋជនអាចទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះរបស់ប្រព័ន្ធ ហើយប្រើក្តារចុចខាងក្រៅដើម្បី 'ស្តោះលុយ' ពីម៉ាស៊ីន ATM ។

អ្នកស្រាវជ្រាវមិនប្រាកដអំពីវ៉ិចទ័រដំបូងសម្រាប់ការឆ្លងទេ។ ទោះជាយ៉ាងណាក៏ដោយ ដោយសារ FiXS ប្រើក្តារចុចខាងក្រៅស្រដៀងទៅនឹង Ploutus វាក៏ត្រូវបានគេជឿថាធ្វើតាមវិធីសាស្រ្តស្រដៀងគ្នាដែរ។ នៅពេលដែលវាមកដល់ Ploutus មនុស្សម្នាក់ដែលមានសិទ្ធិចូលប្រើម៉ាស៊ីនប្រាប់បានភ្ជាប់ក្តារចុចខាងក្រៅទៅនឹងម៉ាស៊ីន ATM ដើម្បីចាប់ផ្តើមការវាយប្រហារ។

Jackpotting នៅតែពេញនិយមក្នុងចំណោមក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត

ដោយសារម៉ាស៊ីនអេធីអឹមនៅតែជាធាតុផ្សំដ៏សំខាន់នៃប្រព័ន្ធហិរញ្ញវត្ថុសម្រាប់សេដ្ឋកិច្ចផ្អែកលើសាច់ប្រាក់ ការវាយប្រហារមេរោគដែលកំណត់គោលដៅឧបករណ៍ទាំងនេះនៅតែកើតមានជាទូទៅ។ ដូច្នេះ វាមានសារៈសំខាន់ណាស់សម្រាប់ស្ថាប័នហិរញ្ញវត្ថុ និងធនាគារក្នុងការប្រមើលមើលការសម្របសម្រួលឧបករណ៍ដែលមានសក្តានុពល ហើយផ្តោតលើការធ្វើឱ្យប្រសើរ និងកែលម្អការឆ្លើយតបរបស់ពួកគេចំពោះប្រភេទនៃការគំរាមកំហែងទាំងនេះ។ ការវាយប្រហារទាំងនេះបានជះឥទ្ធិពលយ៉ាងខ្លាំងទៅលើតំបន់ផ្សេងៗ រួមទាំងអាមេរិកឡាទីន អឺរ៉ុប អាស៊ី និងសហរដ្ឋអាមេរិក។

ហានិភ័យដែលទាក់ទងនឹងការវាយប្រហារទាំងនេះគឺខ្ពស់ជាពិសេសសម្រាប់ម៉ូដែល ATM ចាស់ៗ ដោយសារពួកគេប្រឈមនឹងការជួសជុល ឬជំនួស ហើយកម្រប្រើកម្មវិធីសុវត្ថិភាពដើម្បីការពារការបន្ទាបបន្ថោកបន្ថែមទៀតនៃដំណើរការមិនល្អរបស់ពួកគេ។

សមាគមអឺរ៉ុបសម្រាប់ប្រតិបត្តិការសុវត្ថិភាពបានរាយការណ៍ពីការវាយប្រហារដោយជោគជ័យសរុបចំនួន 202 (ATM Malware & Logical Attacks) ដែលផ្តោតលើស្ថាប័នហិរញ្ញវត្ថុនៅក្នុងសហភាពអឺរ៉ុបក្នុងឆ្នាំ 2020 ដែលបណ្តាលឱ្យមានការខាតបង់ចំនួន 1.4 លានដុល្លារ ឬប្រហែល 7,000 ដុល្លារក្នុងមួយការវាយប្រហារ នេះបើយោងតាមរបាយការណ៍ឆ្នាំ 2022 ដោយ ធនាគារកណ្តាលនៃអាត្លង់តា។