FiXS Malware

Kibernetiniai nusikaltėliai nusitaikė į bankomatus Meksikoje naudodami naują kenkėjiškų programų atmainą, žinomą kaip FiXS, leidžiančią užpuolikams išduoti grynuosius iš tikslinių aparatų. Ši kenkėjiška programa buvo naudojama atakų serijoje, prasidėjusioje 2023 m. vasario mėn.

Remiantis saugumo ekspertų ataskaita, šių atakų taktika yra panaši į ankstesnių Ploutus – kito tipo bankomatų kenkėjiškų programų, kurios nuo 2013 m. taikosi į Lotynų Amerikos bankus, – atakas. Atnaujinta Ploutus versija, skirta bankomatui. gamina Brazilijos pardavėjas Itautec, nuo 2021 m. paplitęs visoje Lotynų Amerikoje.

FiXS kenkėjiška programa ką tik išėjo ir šiuo metu veikia Meksikos bankus. Įdiegus bankomatuose, jis naudojasi protokolų ir API, žinomų kaip CEN XFS, rinkiniu, kuris leidžia kibernetiniams nusikaltėliams programuoti bankomatus išleisti grynuosius per išorinę klaviatūrą arba SMS žinutėmis. Šis procesas žinomas kaip jackpoting. Pastebėtina, kad tokio pobūdžio atakos gali sukelti didelių finansinių nuostolių tiek bankams, tiek jų klientams, taip pat kelti susirūpinimą dėl bankomatų tinklų saugumo.

FiXS kenkėjiškų programų atakų grandinė

Viena iš pagrindinių FiXS kenkėjiškų programų savybių yra ta, kad ji leidžia grėsmės veikėjui išleisti grynuosius pinigus iš bankomato praėjus 30 minučių po to, kai aparatas buvo paleistas iš naujo. Tačiau nusikaltėliai turi turėti prieigą prie bankomato per išorinę klaviatūrą.

Kenkėjiškoje programoje yra metaduomenų rusiškais arba kirilicos rašmenimis, o atakos grandinė prasideda kenkėjiškų programų lašintuvu, vadinamu „conhost.exe“. Šis lašintuvas identifikuoja laikinąjį sistemos katalogą ir jame saugo FiXS bankomato kenkėjiškų programų naudingąją apkrovą. Tada įterpta kenkėjiška programa iššifruojama naudojant XOR instrukcijas, o raktas keičiamas kiekvienoje kilpoje naudojant funkciją decode_XOR_key(). Galiausiai, FiXS bankomato kenkėjiška programa paleidžiama naudojant „ShellExecute“ Windows API.

Kenkėjiška programa naudoja CEN XFS API, kad galėtų sąveikauti su bankomatu, todėl ji yra suderinama su daugeliu „Windows“ pagrįstų bankomatų su minimaliais koregavimais. Kibernetiniai nusikaltėliai gali naudoti išorinę klaviatūrą sąveikauti su kenkėjiška programa, o užkabinimo mechanizmai perima klavišų paspaudimus. Per 30 minučių po bankomato paleidimo iš naujo nusikaltėliai gali pasinaudoti sistemos pažeidžiamumu ir išorine klaviatūra „išspjauti pinigus“ iš bankomato.

Tyrėjai nėra tikri dėl pradinio infekcijos pernešėjo. Tačiau kadangi FiXS naudoja išorinę klaviatūrą, panašią į Ploutus, manoma, kad ji taip pat vadovaujasi panašia metodika. Kalbant apie Ploutus, asmuo, turintis fizinę prieigą prie bankomato, prijungia išorinę klaviatūrą prie bankomato, kad inicijuotų ataką.

„Jackpoting“ vis dar populiarus tarp kibernetinių nusikaltėlių grupių

Kadangi bankomatai išlieka esminiu grynųjų pinigų ekonomikos finansinės sistemos komponentu, kenkėjiškų programų atakos, nukreiptos į šiuos įrenginius, vis dar paplitusios. Todėl labai svarbu, kad finansinės institucijos ir bankai numatytų galimus įrenginių kompromisus ir sutelktų dėmesį į savo reakcijų į tokio tipo grėsmes optimizavimą ir gerinimą. Šie išpuoliai turėjo didelį poveikį įvairiems regionams, įskaitant Lotynų Ameriką, Europą, Aziją ir JAV.

Rizika, susijusi su šiomis atakomis, yra ypač didelė senesniems bankomatų modeliams, nes juos sudėtinga taisyti ar pakeisti ir retai naudojama saugos programinė įranga, kad būtų išvengta tolesnio ir taip prasto našumo pablogėjimo.

Europos saugių sandorių asociacija pranešė apie 202 sėkmingas „jackpoting“ atakas (ATM Malware & Logical Attacks), nukreiptas prieš finansines institucijas ES 2020 m., ir dėl to buvo patirta 1,4 mln. Atlantos federalinis rezervų bankas.