FiXS Malware

사이버 범죄자들은 FiXS로 알려진 새로운 맬웨어 변종으로 멕시코의 ATM을 표적으로 삼고 있습니다. 이 악성코드는 2023년 2월에 시작된 일련의 공격에 사용되었습니다.

보안 전문가의 보고서에 따르면 이러한 공격에 사용된 전술은 2013년부터 남미 은행을 표적으로 삼은 또 다른 유형의 ATM 악성코드인 Ploutus의 이전 공격에 사용된 전술과 유사합니다. 특히 ATM을 표적으로 하는 Ploutus 의 업데이트된 버전 브라질 벤더 Itautec이 생산하는 이 제품은 2021년부터 라틴 아메리카 전역에 널리 퍼졌습니다.

FiXS 악성코드는 막 출시되었으며 현재 멕시코 은행에 영향을 미치고 있습니다. ATM에 설치되면 CEN XFS로 알려진 일련의 프로토콜과 API를 활용하여 사이버 범죄자가 외부 키보드나 SMS 메시징을 통해 현금을 인출하도록 ATM을 프로그래밍할 수 있습니다. 이 프로세스를 잭팟팅이라고 합니다. 이러한 유형의 공격은 은행과 고객 모두에게 상당한 재정적 손실을 초래할 수 있을 뿐만 아니라 ATM 네트워크의 보안에 대한 우려를 불러일으킬 수 있다는 점에 주목할 필요가 있습니다.

FiXS 악성코드의 공격 체인

FiXS 악성코드의 주요 기능 중 하나는 위협 행위자가 기계가 재부팅된 후 30분 후에 ATM에서 현금을 인출할 수 있다는 것입니다. 그러나 범죄자는 외부 키보드를 통해 ATM에 액세스할 수 있어야 합니다.

이 악성코드에는 러시아어 또는 키릴 문자로 된 메타데이터가 포함되어 있으며 공격 체인은 'conhost.exe'라는 악성코드 드롭퍼로 시작됩니다. 이 드로퍼는 시스템의 임시 디렉토리를 식별하고 여기에 FiXS ATM 맬웨어 페이로드를 저장합니다. 포함된 악성코드는 XOR 명령으로 디코딩되며 decode_XOR_key() 함수를 통해 모든 루프에서 키가 변경됩니다. 마지막으로 FiXS ATM 악성코드는 'ShellExecute' Windows API를 통해 실행됩니다.

이 맬웨어는 CEN XFS API를 사용하여 ATM과 상호 작용하므로 최소한의 조정으로 대부분의 Windows 기반 ATM과 호환됩니다. 사이버 범죄자는 외부 키보드를 사용하여 맬웨어와 상호 작용할 수 있으며 후킹 메커니즘은 키 입력을 가로챕니다. ATM이 재부팅된 후 30분 이내에 범죄자는 시스템의 취약성을 이용하고 외부 키보드를 사용하여 ATM에서 '돈을 뱉어낼' 수 있습니다.

연구원들은 감염의 초기 매개체에 대해 확신이 없습니다. 하지만 FiXS는 Ploutus와 유사한 외부 키보드를 사용하기 때문에 유사한 방법론을 따르는 것으로 여겨집니다. Ploutus의 경우 현금 입출금기에 물리적으로 접근할 수 있는 사람이 외부 키보드를 ATM에 연결하여 공격을 시작합니다.

Jackpotting은 사이버 범죄 그룹 사이에서 여전히 인기가 있습니다.

ATM은 현금 기반 경제를 위한 금융 시스템의 중요한 구성 요소로 남아 있기 때문에 이러한 장치를 대상으로 하는 맬웨어 공격은 여전히 널리 퍼져 있습니다. 따라서 금융 기관과 은행은 잠재적인 장치 손상을 예상하고 이러한 유형의 위협에 대한 대응을 최적화하고 개선하는 데 집중하는 것이 중요합니다. 이러한 공격은 라틴 아메리카, 유럽, 아시아 및 미국을 포함한 다양한 지역에 상당한 영향을 미쳤습니다.

이러한 공격과 관련된 위험은 수리 또는 교체가 어렵고 이미 열악한 성능의 추가 저하를 방지하기 위해 보안 소프트웨어를 거의 사용하지 않기 때문에 구형 ATM 모델의 경우 특히 높습니다.

유럽 보안 거래 협회(European Association for Secure Transactions)는 2020년에 EU의 금융 기관을 대상으로 한 총 202건의 성공적인 잭포팅 공격(ATM 악성 코드 및 논리적 공격)을 보고했으며, 그 결과 140만 달러 또는 공격당 약 7,000달러의 손실을 입었다고 2022년 보고서에서 밝혔습니다. 애틀랜타 연방준비은행.