FiXS Malware

Kibernoziedznieki ir vērsušies pret bankomātiem Meksikā ar jaunu ļaunprātīgas programmatūras celmu, kas pazīstams kā FiXS, kas ļauj uzbrucējiem izsniegt skaidru naudu no mērķētām iekārtām. Šī ļaunprātīgā programmatūra ir izmantota vairākos uzbrukumuos, kas sākās 2023. gada februārī.

Saskaņā ar drošības ekspertu ziņojumu, šajos uzbrukumos izmantotā taktika ir līdzīga tai, ko izmantoja iepriekšējos uzbrukumos, ko veica Ploutus — cita veida bankomātu ļaunprogrammatūra, kas ir vērsta pret Latīņamerikas bankām kopš 2013. gada. Atjaunināta Ploutus versija, kas īpaši paredzēta bankomātiem. ko ražo Brazīlijas pārdevējs Itautec, kopš 2021. gada ir izplatīts visā Latīņamerikā.

FiXS ļaunprogrammatūra ir tikko izlaista un pašlaik ietekmē Meksikas bankas. Kad tas ir instalēts bankomātos, tas izmanto protokolu un API, kas pazīstams kā CEN XFS, priekšrocības, kas ļauj kibernoziedzniekiem programmēt bankomātus skaidras naudas izsniegšanai, izmantojot ārēju tastatūru vai SMS ziņojumapmaiņu. Šis process ir pazīstams kā džekpots. Zīmīgi, ka šāda veida uzbrukums var radīt būtiskus finansiālus zaudējumus gan bankām, gan to klientiem, kā arī radīt bažas par bankomātu tīklu drošību.

FiXS ļaunprātīgas programmatūras uzbrukuma ķēde

Viena no FiXS ļaunprogrammatūras galvenajām iezīmēm ir tāda, ka tā ļauj draudu izpildītājam izņemt skaidru naudu no bankomāta 30 minūtes pēc mašīnas pārstartēšanas. Tomēr noziedzniekiem ir jābūt piekļuvei bankomātam, izmantojot ārējo tastatūru.

Ļaunprātīgā programmatūra satur metadatus krievu vai kirilicas rakstā, un uzbrukuma ķēde sākas ar ļaunprātīgas programmatūras pilinātāju ar nosaukumu “conhost.exe”. Šis pilinātājs identificē sistēmas pagaidu direktoriju un tajā saglabā FiXS bankomāta ļaunprātīgās programmatūras lietderīgo slodzi. Pēc tam iegultā ļaunprogrammatūra tiek dekodēta ar XOR instrukciju, un atslēga tiek mainīta katrā ciklā, izmantojot funkciju decode_XOR_key(). Visbeidzot, FiXS bankomāta ļaunprogrammatūra tiek palaista, izmantojot “ShellExecute” Windows API.

Ļaunprātīga programmatūra izmanto CEN XFS API, lai mijiedarbotos ar bankomātu, kas padara to saderīgu ar lielāko daļu Windows bankomātu ar minimālām korekcijām. Kibernoziedznieki var izmantot ārēju tastatūru, lai mijiedarbotos ar ļaunprātīgu programmatūru, un piesaistes mehānismi pārtver taustiņu nospiešanu. 30 minūšu laikā pēc bankomāta atsāknēšanas noziedznieki var izmantot sistēmas ievainojamību un izmantot ārējo tastatūru, lai “izspļautu naudu” no bankomāta.

Pētnieki nav pārliecināti par sākotnējo infekcijas vektoru. Tomēr, tā kā FiXS izmanto ārējo tastatūru, kas ir līdzīga Ploutus, tiek uzskatīts, ka tā ievēro līdzīgu metodiku. Runājot par Ploutus, persona ar fizisku piekļuvi bankomātam savieno ārējo tastatūru ar bankomātu, lai sāktu uzbrukumu.

Džekpots joprojām ir populārs kibernoziedznieku grupu vidū

Tā kā bankomāti joprojām ir būtiska finanšu sistēmas sastāvdaļa ekonomikā, kas balstīta uz skaidru naudu, joprojām ir izplatīti ļaunprātīgas programmatūras uzbrukumi, kas vērsti pret šīm ierīcēm. Tāpēc finanšu iestādēm un bankām ir ļoti svarīgi paredzēt iespējamos ierīču kompromisus un koncentrēties uz to, lai optimizētu un uzlabotu atbildes uz šāda veida apdraudējumiem. Šie uzbrukumi ir būtiski ietekmējuši dažādus reģionus, tostarp Latīņameriku, Eiropu, Āziju un ASV.

Ar šiem uzbrukumiem saistītie riski ir īpaši lieli vecākiem bankomātu modeļiem, jo tos ir grūti salabot vai nomainīt, un tos reti izmanto drošības programmatūra, lai novērstu jau tā sliktās veiktspējas turpmāku pasliktināšanos.

Eiropas Drošo darījumu asociācija ir ziņojusi par kopumā 202 veiksmīgiem džekpotu uzbrukumiem (ATM Malware & Logical Attacks), kas 2020. gadā bija vērsti pret finanšu iestādēm ES, kā rezultātā tika nodarīti zaudējumi 1,4 miljonu ASV dolāru apmērā jeb aptuveni 7000 ASV dolāru par katru uzbrukumu, liecina 2022. gada ziņojums. Atlantas Federālo rezervju banka.